یک مهاجم فهرستی از ۵۰۰ هزار نام کاربری و رمز عبور VPN تجهیزات ساخت شرکت فورتینت (Fortinet) را که ظاهراً تابستان گذشته از دستگاههای آسیبپذیر سرقت شده بود بهصورت عمومی منتشر کرده است.
نیممیلیون کاربر در دام عضو سابق Babuk
رمزهای عبور تجهیزات Fortinet منتشر شد
مرکز مدیریت راهبردی افتا , 28 شهريور 1400 ساعت 15:00
یک مهاجم فهرستی از ۵۰۰ هزار نام کاربری و رمز عبور VPN تجهیزات ساخت شرکت فورتینت (Fortinet) را که ظاهراً تابستان گذشته از دستگاههای آسیبپذیر سرقت شده بود بهصورت عمومی منتشر کرده است.
یک مهاجم فهرستی از ۵۰۰ هزار نام کاربری و رمز عبور VPN تجهیزات ساخت شرکت فورتینت (Fortinet) را که ظاهراً تابستان گذشته از دستگاههای آسیبپذیر سرقت شده بود بهصورت عمومی منتشر کرده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت فورتینت بعداً وصله شده است. درعینحال مدعی است که بسیاری از اطلاعات (رمزهای عبور VPN) افشا شده همچنان معتبر هستند.
این نشت یک رویداد جدی است؛ در اختیار داشتن رمز عبور VPN، دسترسی و نفوذ به یک شبکه، حذف اطلاعات، نصب بدافزار و اجرای حملات باجافزاری را برای مهاجمان فراهم میکند.
این رمزهای عبور، ۱۶ شهریورماه توسط مهاجمی معروف به "Orange" که مدیر تالار گفتوگوی تازهتأسیس RAMP و یکی از گردانندگان قدیمی باجافزار Babuk است، به طور رایگان در دسترس عموم قرار گرفته است. پس از بروز اختلافات بین اعضای گروه باجافزاری Babuk، وی تالار گفتوگوی RAMP را راهاندازی کرد و اکنون تصور میشود که گرداننده یک گروه جدید باجافزاری به نام Groove است.
در همان زمان، مطلبی نیز در سایت نشت داده باجافزار Groove منتشر شد که آن نیز نشت اطلاعات تجهیزات فورتینت را تبلیغ میکرد.
هر دو مطلب منتشر شده در این سایتها، کاربر را به فایل ذخیره شده در سرور ذخیرهسازی در Tor که توسط گروه Groove استفاده میشود، هدایت میکنند. به طور معمول فایلهای سرقت شده در جریان حملات باجافزاری در این سرور بهمنظور تحتفشار قراردادن قربانیان جهت پرداخت باج، ذخیره میشوند.
با اینکه صحت رمزهای عبور فاش شده، آزمایش نشده است، بررسی محققان نشان میدهد که این فایل حاوی اطلاعات (رمزهای عبور VPN) نزدیک به نیممیلیون کاربر مربوط به بیش از ۱۲ هزار دستگاه فورتی نت است.
تحلیل محققان بر اساس نشانیهای IP این دستگاهها نشان میدهد که اطلاعات افشاء شده، مربوط به تجهیزات فورتینت در بسیاری از کشورهای جهان است.
گفته میشود ضعف امنیتی که موجب افشای رمزهای عبور تجهیزات فورتینت شده، مربوط به آسیبپذیری با شناسه CVE-۲۰۱۸-۱۳۳۷۹ است که در اوایل سال ۹۸ وصله شده است.
مشخص نیست که چرا مهاجمان بهجای بهکارگیری این رمزهای عبور در جریان حملات باجافزاری خود، آنها را منتشر کردهاند. اما اعتقاد بر این است که این کار بهنوعی بهمنظور تبلیغ و ترویج استفاده از تالار گفتوگوی هکری RAMP و گروه باجافزاری Groove بهعنوان ارائهدهنده «باجافزار بهعنوان سرویس» (Ransomware-as-a-Service – بهاختصار RaaS) انجام شده است.
Groove یک گروه باجافزاری نسبتاً جدید است که در حال حاضر تنها اطلاعات یک قربانی را در سایت نشت داده خود ذکر کردهاند. بااینحال با ارائه رایگان اطلاعات به سایر مهاجمان در تالار گفتگوی خود، آنها به جذب مشترک سرویس RaaS امیدوار هستند.
با فرض معتبر بودن بسیاری از رمزهای عبور افشا شده، اقدامات زیر به راهبران تجهیزات فورتی نت توصیه میشود:
- تغییر رمزهای عبور تمامی کاربران
- اطمینان از اعمال تمامی وصلههای امنیتی
- بررسی هرگونه رویداد مشکوک و گزارشهای نفوذ احتمالی به سیستمها
محققان امنیتی فهرستی از نشانیهای IP دستگاههای افشا شده را در لینک زیر منتشر کردهاند.
https://gist.github.com/crypto-cypher/f۲۱۶d۶fa۴۸۱۶ffa۹۳c۵۲۷۰b۰۰۱dc۴bdc
شرکت فورتی نت نیز توصیهنامهای را در لینک زیر منتشر کرده که به طور ضمنی سوءاستفاده از ضعف امنیتی به شناسه CVE-۲۰۱۸-۱۳۳۷۹ را تأیید کرده است:
https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials
کد مطلب: 18295