15.000 configurazioni di dispostivi Fortigate diffusi dal gruppo Belsen
·690 parole·4 minuti·loading·loading·
Autore
Andrea Marfella
Cyber Field Engineer
Indice dei contenutiIndice dei contenuti
“2025 will be a fortunate year for the world.FortiGate 15K+ Targets (Configs+VPN Passwords)the biggest surprise: All this sensitive and crucial data is absolutely FREE, offered to you as a gift from the Belesn Group.#leak #Network #breachform #world”Original post on X
Il 14 gennaio, un gruppo hacker di nome Belsen ha pubblicato su breachforums i dati di configurazione di oltre 15.000 firewall FortiGate.
Secondo le prime analisi eseguite da Kevin Beaumont, i dati sarebbero stati sottratti a partire dal 2022 grazie allo sfruttamento della vulnerabilità CVE-2022-40684.
La notizia è stata confermata dalla stessa Fortinet che ha rilasciato un articolo con le proprie analisi.
I dati pubblicati sono le configurazioni complete dei firewall e le credenziali in chiaro degli utenti VPN, questi dati sono stati organizzati per paese ed IP. Tra le informazioni pubblicate inoltre troviamo:
IP
Certificati
Hash delle password
Configurazioni VPN
Informazioni delle rete interna
Subnets
VLANs
Lease di DHCP server
…
…
Si tratta di una violazione piuttosto grave, poiché chiunque potrebbe sfruttare queste informazioni per attaccare le reti compromesse.
Si ok, ma questi dati sono di due anni fa ed io ho già patchato tutti sistemi, cosa me ne frega ammeh?
Sebbene i dati abbiano più di due anni, è probabile che molti siano ancora rilevanti e potenzialmente in grado di essere usati.
Secondo l’analisi di Censys.io (alternativa a Shodan.io) infatti, dei 15.469 IP unici listati, una scansione del 17 Gennaio ha trovato ancora 8.469 IP raggiungibili, il 54.75%, e di questi 5.086, il 32.88%, continuano a esporre la pagina login, principalmente su HTTPS.
Ho collezionato delle statiche per quanto riguarda gli IP italiani listati nel leak, questo per capire meglio l’impatto attuale.
Numero di IP italiani totali: 333
Credenziali VPN con username e password in chiaro: 1836 (!!!)
IP che ancora rispondono con una login page: 57, circa il 17%
Continuare ad esporre la login page su internet è un inutile pericolo, considera ad esempio che la recente CVE-2024-55591 consentirebbe un bypass authentication in alcune versioni.
altre statistiche “simpatiche”:
Numero di VPN site-site: 127
Numero di password usate almeno 2 volte (password deboli/duplicate): 216
La password più usata è associata a 28 utenze diverse, e non è Password01, anche se questa era presente nel leak :)
PATCHARE NON E’ SUFFICIENTEBisogna trattare questo evento per quello che è, un incidente di sicurezza.
Prima di tutto ti consiglio di verificare a questo link se qualsiasi dei tuoi IP fa parte del leak, un’ ulteriore verifica da fare è quella sui domini mail estratti dalle configurazioni a questo link, potrebbero esserci infatti dati sensibili di service provider o attori terzi utilizzati in altri attacchi.
La lista dei domini rappresenta i domini dei contatti mail estratti a partire dai file di configurazione, alcuni di questi potrebbero essere di provider mail o di service provider che lavorano per le vittime reali.
Una volta appurato che la tua organizzazione è stata impattata, c’è solo una strada efficace, fare un assessment per verificare se altri sistemi all’interno della tua infrastruttura siano già stati compromessi.
Patchare è fondamentale, ma non è l’unica cosa che conta. In situazioni come queste dove la vulnerabilità è già stata sfruttata per bucare un sistema, sono necessarie ulteriori attività di bonifica.
Nessuno è infallibile, il software è vulnerabile per definizione.
Bisogna applicare un approccio di Defense in Depth, non si può rafforzare solo il muro del castello se il nemico è già dentro.
Se nona hai motivo di esporre la console di amministrazione di un servizio, non farlo. Se fosse del tutto necessario, limita l’accesso solo a specifici IP.
Se hai un servizio esposto, devi almeno raddoppiare l’effort nella sua protezione.
