Data konfigurasi tertanggal dan kredensial jaringan pribadi virtual (VPN) untuk 15.474 perangkat Fortinet telah diposting secara gratis ke Web Gelap.
Pada 14 Januari, Fortinet mengungkapkan kerentanan bypass otentikasi yang parah di sistem operasi FortiOS dan gateway Web FortiProxy, CVE-2024-55591. Untuk melihat contoh dampak dari kerentanan tersebut, kita hanya perlu melihat bug paralel dari bulan Oktober 2022 yang masih menimbulkan gelombang hingga saat ini.
Saat itu, Fortinet menerbitkan peringatan keamanan penting mengenai CVE-2022-40684kerentanan bypass autentikasi setara yang memengaruhi FortiOS, FortiProxy, dan FortiSwitchManager autologis. Mendapatkan peringkat “kritis” 9,8 dalam Common Vulnerability Scoring System (CVSS), hal ini memungkinkan penyerang yang tidak diautentikasi untuk melakukan operasi administratif pada perangkat yang rentan melalui permintaan HTTP yang dibuat khusus. Setelah pengungkapan tersebut, peneliti keamanan mengembangkan eksploitasi proof-of-concept (PoC), sebuah templat untuk memindai perangkat yang rentan, dan menyaksikan bagaimana upaya eksploitasi meningkat dan meningkat.
Pada hari yang sama dengan pengungkapan CVE-2024-55591 minggu ini, pelaku ancaman dengan nama samaran “Belsen Group” merilis data milik lebih dari 15.000 perangkat Fortinet. Dalam postingan blognya, peneliti CloudSEK yang melihatnya menilai bahwa data tersebut telah dicuri berkat CVE-2022-40684, kemungkinan besar saat bug tersebut masih dalam masa zero-day. Sekarang, mereka menulis, “Setelah mereka kehabisan penggunaannya untuk diri mereka sendiri (baik dengan menjual atau menggunakan akses), pelaku ancaman memutuskan untuk membocorkannya pada tahun 2025.”
Kemungkinan Petunjuk Asal Usul Belsen Group
“2025 akan menjadi tahun keberuntungan bagi dunia,” tulis Belsen Group dalam postingannya di situs kejahatan dunia maya BreachForums (sambil dengan mudah mengabaikan bahwa datanya telah dikumpulkan lebih dari dua tahun lalu). File berukuran 1,6GB yang diunggah di situs web bawangnya dapat diakses secara gratis, dan disusun dengan rapi dalam folder, pertama berdasarkan negara, kemudian berdasarkan alamat IP dan nomor port firewall.
Perangkat yang terkena dampak tampaknya tersebar di setiap benua, dengan konsentrasi tertinggi di Belgia, Polandia, Amerika Serikat, dan Inggris, masing-masing dengan lebih dari 20 korban.
Di sisi lain, peneliti keamanan Kevin Beaumont (alias GossiTheDog) mencatat dalam sebuah posting blog bahwa setiap negara di mana Fortinet hadir adalah terwakili dalam datakecuali satu: Iran, meskipun Shodan menunjukkan hampir 2.000 perangkat Fortinet yang dapat dijangkau di negara tersebut saat ini. Selain itu, hanya ada satu perangkat yang terkena dampak di seluruh Rusia, dan secara teknis perangkat tersebut berada di wilayah Krimea yang dicaplok Ukraina.
Poin-poin data ini mungkin tidak penting, atau mungkin memberikan petunjuk untuk menghubungkan Belsen Group. Tampaknya hal ini telah muncul pada bulan ini, meskipun CloudSEK menyimpulkan “dengan keyakinan tinggi” bahwa hal ini telah ada setidaknya selama tiga tahun, dan bahwa “Mereka kemungkinan besar merupakan bagian dari kelompok ancaman yang mengeksploitasi zero day pada tahun 2022, meskipun secara langsung afiliasi belum terbentuk.”
Apa Risiko Sibernya?
Daftar yang bocor berisi dua jenis folder. Yang pertama, “config.conf,” berisi konfigurasi perangkat yang terpengaruh: alamat IP, nama pengguna dan sandi, sertifikat manajemen perangkat, dan semua aturan firewall organisasi yang terpengaruh. Data ini dicuri melalui CVE-2022-40684. Di folder lain, “vpn-password.txt”, terdapat kredensial SSL-VPN. Menurut Fortinet, kredensial ini bersumber dari perangkat melalui kerentanan penjelajahan jalur yang lebih tua, CVE-2018-13379.
Meskipun datanya sudah agak tua saat ini, Beaumont menulis, “Memiliki konfigurasi perangkat lengkap termasuk semua aturan firewall adalah… banyak informasi.” CloudSEK juga menyebutkan risiko kebocoran konfigurasi firewall dapat mengungkap informasi tentang struktur jaringan internal organisasi yang mungkin masih berlaku hingga saat ini.
Organisasi juga sering kali tidak mengganti nama pengguna dan kata sandi, sehingga membiarkan nama pengguna dan kata sandi lama terus menimbulkan masalah. Saat memeriksa perangkat yang termasuk dalam dump, Beaumont melaporkan bahwa otentikasi lama cocok dengan yang masih digunakan.
Fortinet, pada bagiannya, mencoba meredakan kekhawatiran di a analisis keamanan diterbitkan pada 16 Januari. “Jika organisasi Anda secara konsisten mematuhi praktik terbaik rutin dalam memperbarui kredensial keamanan secara berkala dan mengambil tindakan yang direkomendasikan pada tahun-tahun sebelumnya, risiko konfigurasi organisasi saat ini atau detail kredensial dalam pengungkapan pelaku ancaman adalah kecil, ” jelasnya.
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")