Hackers publiceren wachtwoorden voor bijna 500.000 Fortinet VPN-accounts

Een groep hackers heeft een lijst gepubliceerd met de inloggegevens van bijna 500.000 Fortinet VPN-accounts. Die zouden vorig jaar van kwetsbare toestellen zijn geschraapt. Hoewel de kwetsbaarheid inmiddels is gepatcht, wordt aangenomen dat veel inloggegevens nog steeds geldig zijn.

Een dreigingsactor genaamd Orange heeft de inloggegevens gratis gepubliceerd op een hackerforum, bevestigt BleepingComputer . Met deze gegevens hebben gebruikers toegang tot de netwerken van de slachtoffers. Het bestand wordt gehost op een Tor-opslagserver die ook wordt gebruikt door de Groove ransomware-groep om gestolen bestanden te bewaren.

Volgens BleepingComputer bevat de lijst de inloggegevens van 498.908 gebruikers, die afkomstig zijn van 12.856 Fortinet-apparaten. BleepingComputer schrijft dat het niet alle inloggegevens heeft geprobeerd, maar bevestigt wel dat het verschillende IP-adressen uit de lijst heeft gecontroleerd. De geverifieerde adressen zijn allemaal van Fortinet VPN-servers. Het is niet bekend van wie de gestolen inloggegevens zijn.

Kremez van Advanced Intelligence vertelde BleepingComputer dat de gegevens waren gestolen via een kwetsbaarheid in FortiOS SSL VPN van Fortinet, die van toepassing was op FortiOS 6.0.0 tot 6.0.4, FortiOS 5.6.3 tot 5.6.7 en FortiOS 5.4. 6 tot 5.4.12. Het bevat een kwetsbaarheid, CVE-2018-13379 , waarmee aanvallers toegang kunnen krijgen tot de VPN via een aangepaste http-header. Vorig jaar zijn 50.000 inloggegevens van bedrijven met een Fortinet VPN gelekt, die via dezelfde kwetsbaarheid zijn gestolen.

Dit beveiligingslek is sinds mei 2019 gesloten, hoewel VPN-servers nog steeds kwetsbaar kunnen zijn als de eigenaar de patch niet heeft geïmplementeerd. Gepatchte servers kunnen ook kwetsbaar blijven als gebruikers hun VPN-wachtwoord niet wijzigen. Fortinet raadt serverbeheerders aan om uit voorzorg de inloggegevens van alle gebruikers opnieuw in te stellen als ze ooit een kwetsbare FortiOS-versie hebben gebruikt.