Se publica una lista de 50.000 Fortinet vulnerables

vulnerabilidad FortiNet

La semana pasada se publicó en un foro una lista de casi
50.000 dispositivos VPN de Fortinet que son vulnerables en el portal web
FortiOS SSL VPN, esta vulnerabilidad puede permitir a un atacante no
autenticado conseguir descargar archivos FortiOS a través de una petición HTTP
diseñada específicamente para el ataque. En dicha lista están presentes dominios
de algunos de los principales bancos y organizaciones gubernamentales de todo
el mundo.

Dicha vulnerabilidad está identificada como CVE-2018-13379,
este error ya se identificó el año 2018 y se aprovecha de una falla de Path Traversal.
Esta vulnerabilidad afecta a muchos dispositivos FortiNet FortiOS SSL VPN sin
parchear, además, se le atribuye una gravedad de 9.8 sobre 10. Fortinet lanzo
un parche en mayo de 2019 que corrige este error, aunque todavía existen miles
de dispositivos sin la actualización que soluciona este error. Las versiones
afectadas por esta vulnerabilidad son FortiOS 6.0.0-6.0.4, FortiOS 5.6.3-5.6.7
y FortiOS 5.4.6 – 5.4.12.

Aprovechando esta vulnerabilidad el atacante remotamente y
sin autenticación puede acceder a una lista con los archivos sslvpn_websession
de las VPN de FortiNet donde entre otra información se encuentran las
credenciales de inicio de sesión. El atacante puede robar estas credenciales y
utilizarlas para poner en peligro una red e implementar algún archivo o código
malicioso.

El analista Bank Security fue quien se topó con un hilo en
un foro donde se había publicado una gran lista de 49.577 dispositivos donde
está vulnerabilidad puede ser explotada.

Tras realizar un análisis de estos objetivos vulnerables el
analista se topó con que muchos pertenecen a dominios gubernamentales, bancos y
compañías financieras reconocidas.

Para identificar que organizaciones se ven afectadas en esta
lista, el analista realizo un nslookup en todas las direcciones IP de la lista
y, para muchas de ellas encontró que todavía tiene el dominio asociado. Tras
realizar el análisis, el propio analista refino aún más los resultados
obtenidos con la idea de identificar los nombres de dominio asociados con bancos
notables y organizaciones de interés. Este tipo de errores siguen siendo muy
explotados debido a la lentitud que tienen las organizaciones en el proceso de
parcheo y la sencillez de explotación de este tipo de fallos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity