Miles de direcciones de correo electrónico incluidas en el vertedero de configuraciones de FortiGate del Grupo Belsen la semana pasada están disponibles en línea, revelando qué organizaciones pueden haber sido afectadas por las exploits de día cero 2022.
El experto en Infosec, Kevin Beaumont, cargó la IP y las direcciones de correo electrónico asociadas con las configuraciones de FortiGate filtradas a Github, mientras que el investigador Florian Roth las extrajo por separado y las agrupó a través de dominios de nivel superior (TLDS).
Beaumont dijo que el objetivo aquí era proporcionar a los defensores la información que necesitan para identificar qué organizaciones pueden haber sido afectadas y requerir más investigación. Sin embargo, no todos incluirán sus direcciones de correo electrónico en los archivos de configuración, por lo que el recurso no ayudará a cada víctima.
Según Roth’s datos agrupadosSe incluyeron una pizca de menos de 5,000 dominios de las organizaciones, y puede beneficiarse de Beaumont’s publicación.
Sin embargo, los espectadores en la comunidad de seguridad, como un analista de inteligencia de amenazas de grupo de ib., dicho La lista no es exhaustiva y no captura todos los correos electrónicos incluidos en la filtración.
Sin embargo, la lista de víctimas que se publicó es verdaderamente global. Algunos CTRL+FS simples revelan una selección de organizaciones importantes de alto perfil, así como un grupo de dominios vinculados a los gobiernos de todo el mundo.
El registro contactó algunas de las inclusiones más notables en los datos para una respuesta.
Un recordatorio para aquellos que se perdieron la filtración de la semana pasada: una nueva banda de malos con el nombre del grupo Belsen filtró alrededor de 15,000 archivos de configuración de FortiGate en línea. Estos fueron robados durante la explotación 2022 de día cero de CVE-2022-40684.
Beaumont advirtió en ese momento que las contraseñas, algunas de las cuales se almacenaron en texto plano, en una parte de los casos, también incluidos en la fuga, y naturalmente los retuvo de los datos publicados esta semana.
Tener un atacante en posesión de las configuraciones de firewall de una organización no es una situación deseable. Con estos, los delincuentes pueden identificar debilidades en las redes que pueden explotarse para varios tipos de ataques que podrían incluir el robo de datos y la implantación de puerta trasera.
Fortinet confirmó que la fuga del Grupo Belsen era genuina y respondió a las noticias diciendo que la mayoría de las organizaciones impactadas deberían estar a salvo de cualquier explotación adicional, siempre que sigan las mejores prácticas de seguridad.
«Si su organización se ha adherido constantemente a las mejores prácticas rutinarias en las credenciales de seguridad refrescantes regularmente y ha tomado las acciones recomendadas en los años anteriores, el riesgo de la configuración actual o los detalles de las credenciales de la organización en la divulgación del actor de amenaza es pequeño», dijo el proveedor.
«Continuamos recomendando encarecidamente que las organizaciones tomen las acciones recomendadas, si aún no lo han hecho, para mejorar su postura de seguridad».
Sin embargo, aunque muchas organizaciones deberían haber tomado medidas después del incidente en 2022, Beaumont advirtió que entre las configuraciones filtradas también estaban alrededor de 12,000 configuraciones de túnel VPN IPSEC de sitio a sitio.
«Entonces, incluso si no estuvieras explotado, el actor de amenaza puede aparecer en tu red», él escribió en Mastodon.
Los túneles IPSEC ofrecen (supuestamente) acceso remoto encriptado y seguro a las diferentes redes de las organizaciones que utilizan hardware de puerta de enlace, como firewalls Fortinet.
Si un atacante tiene las claves para estos túneles, puede unirse de manera factible a las redes internas de las organizaciones afectadas y comenzar a arraigarse para obtener algo de interés.
«No estoy seguro de que la gente comprenda completamente la gravedad de este vertedero de configuración de FortiGate», Roth escribió.
«Una vez que un día cero se hace público y al menos un actor de amenaza lo ha usado para explotar miles de dispositivos, y luego una lista de fugas de sistemas afectados, (significa) el parche no es suficiente.
«Si toma en serio la seguridad, debe ejecutar una evaluación de compromiso para verificar si el dispositivo y otros sistemas de su red ya han sido violados».
El investigador aconsejó a las organizaciones incluidas en la lista para verificar si hay intentos de intrusión, si se robaron algún secreto y si aún queda una puerta trasera.
«Trate esto como el incidente de seguridad que es», advirtió Roth. ®
