Ha sido expuesta por un grupo de hacker una lista de casi 500 mil cuentas de inicio de sesión de VPN de Fortinet, las cuales se sospecha fueron recopiladas aprovechando una vulnerabilidad de Fortinet conocida con el identificador CVE-2018-13379.

La vulnerabilidad es una falla de tipo path traversal en el portal web FortiOS SSL VPN que podría ser utilizado por un actor de amenazas no autenticado para descargar archivos del sistema FortiOS a través de solicitudes de recursos HTTP especialmente diseñadas. Por lo que se había observado siendo utilizada por ciberdelincuentes en diferentes ocasiones para tener acceso a la red e implementar ransomware o alguna infección para comprometer los sistemas de información.

En mayo de 2019, Fortinet reveló y proporcionó una actualización de seguridad para solventar esta vulnerabilidad en sus dispositivos que ejecutan SSL VPN con autenticación local para usuarios que pudiese salir afectados;

• FortiOS 6.0 – 6.0.0 a 6.0.4
• FortiOS 5.6 – 5.6.3 a 5.6.7
• FortiOS 5.4 – 5.4.6 a 5.4.12

Esta filtración es considerada un incidente crítico, ya que quien maneje la información podría permitir el acceso a una red para aprovechar los recursos disponibles, exfiltrar datos, instalar malware y realizar ataques de rasomware en caso las credenciales aun sean validas.

RECOMENDACIONES

Si usted es un administrador y posee un servidor VPN de Fortinet se recomienda tomar las siguientes precauciones:

• Aplicar las actualizaciones de lugar si se encuentran vulnerables a la vulnerabilidad CVE-2018-13379. En este sentido se recomienda siempre estar actualizados a la última versión de seguridad lanzada por el fabricante.
• Realizar un restablecimiento completo de todas las contraseñas de los usuarios y el establecimiento de autenticación de multifactor
• Realizar una revisión de los registros de acceso en búsqueda de posibles intrusiones.