Fortinet ha confirmado que los análisis anteriores de los registros filtrados por Belsen Group son de hecho configuraciones genuinas de FortiGate robadas durante una redada de día cero en 2022.
Los datos filtrados incluyen direcciones IP, configuraciones (incluidas reglas de firewall) y contraseñas, algunas de las cuales estaban en texto plano, según el observador de seguridad informática Kevin Beaumont, quien fue el primero en cubrir el volcado de datos de Belsen.
Beaumont también dijo que la filtración parecía contener archivos relacionados con alrededor de 15.000 dispositivos Fortinet, organizados por país de origen. El vendedor no hizo comentarios sobre la magnitud del incidente.
Sin embargo, sí dijo que el Grupo Belsen (que lleva el nombre del campo de concentración de Bergen-Belsen, si se quiere tener una idea del carácter de este grupo) estaba haciendo pasar la filtración como una nueva hazaña cuando en realidad los registros se tomaron años antes. , pero recién se lanzó esta semana.
Al profundizar más, Beaumont descubrió que la mayoría de las víctimas eran pequeñas y medianas empresas, además de algunas empresas más grandes y un pequeño número de gobiernos no identificados.
«Todos los países que tienen productos Fortinet dentro del alcance son visibles en los datos, excepto uno: Irán», dijo. agregado.
«En Irán, no hay ningún volcado de configuración presente en este conjunto de datos, a pesar de que Shodan muestra casi dos mil dispositivos con interfaces de administración o VPN SSL expuestas».
Sólo una víctima fue identificada en Rusia, ubicada en Crimea, un territorio en disputa.
«Se desconoce por qué estos países no aparecen en los datos publicados», dijo.
Sin embargo, el investigador recomendó a los clientes que estén atentos a una posible explotación, incluso si aplicaron parches en 2022. Si los parches se aplicaron después de octubre de 2022, cuando se explotó CVE-2022–40684 como día cero, aún podría haber una posibilidad. que sus configuraciones fueron levantadas.
La opinión de Fortinet fue un poco más ligera, confirmando que la mayoría de los dispositivos afectados por la vulnerabilidad han sido parcheados desde entonces.
«Si su organización se ha adherido consistentemente a las mejores prácticas de rutina para actualizar periódicamente las credenciales de seguridad y ha tomado las acciones recomendadas en los años anteriores, el riesgo de que la configuración actual de la organización o los detalles de las credenciales en la divulgación del actor de la amenaza sea pequeño», dicho el jueves.
«Seguimos recomendando encarecidamente que las organizaciones tomen las medidas recomendadas, si aún no lo han hecho, para mejorar su postura de seguridad.
«También podemos confirmar que los dispositivos comprados desde diciembre de 2022 o los dispositivos que solo han ejecutado FortiOS 7.2.2 o superior no se ven afectados por la información revelada por este actor de amenazas.
«Si estaba ejecutando una versión afectada (7.0.6 e inferior o 7.2.1 e inferior) antes de noviembre de 2022 y aún no tomó las acciones recomendadas en el aviso, le recomendamos encarecidamente revisar las acciones recomendadas para mejorar su postura de seguridad. «
El proveedor también dijo que se comunicaría de manera proactiva con los clientes que aún podrían estar en riesgo.
«Si está dentro del alcance, es posible que necesite cambiar las credenciales del dispositivo y evaluar el riesgo de que las reglas de firewall estén disponibles públicamente», agregó Beaumont.
Una cosa tras otra
No ha sido un comienzo ideal para 2025 para Fortinet (2024 tampoco fue genial), con novedades de otro posible campaña de explotación de día cero surgiendo hace apenas unos días.
Los laboratorios del lobo ártico dijeron El Registro La campaña pareció comenzar a principios de diciembre y terminar a finales de mes.
Aunque el punto de intrusión en estos ataques no se ha vinculado a una vulnerabilidad específica, ni se le ha asignado un identificador CVE, el principal investigador de inteligencia de amenazas del proveedor, Stefan Hostetler, dijo que es «altamente probable» que estuviera involucrado un día cero. .
«Si bien el vector de acceso inicial utilizado en esta campaña aún no está confirmado, Arctic Wolf Labs evalúa con alta confianza que es probable que se produzca una explotación masiva de una vulnerabilidad de día cero, dado el cronograma comprimido entre las organizaciones afectadas, así como las versiones de firmware afectadas», dijo Hostetler y colegas.
Las intrusiones se realizaron a través de los firewalls FortiGate de Fortinet, cuyas versiones oscilaron entre la 7.0.14, lanzada en febrero de 2024, y la 7.0.16, lanzada en octubre de 2024.
Espere más informes sobre esto a medida que surjan detalles. ®
