VPN Fortinet: un leak password colpisce 500.000 account
VPN Fortinet: un leak password ha colpito 500.000 account: gli hacker avrebbero prelevato le credenziali di accesso da dispositivi non protetti, quindi le hanno scaricate su un forum del dark web. Anche se la vulnerabilità di Fortinet smebra sia stata corretta molte credenziali VPN sono ancora valide. L’attore delle minacce, un certo “Orange” ha fatto trapelare password e nomi utente, ma nulla in vendita, la grande quantità di informazioni era disponbile gratuitamente.
Il comunicato stampa di Fortinet:
The security of our customers is our first priority. Fortinet is aware that a malicious actor has disclosed SSL-VPN credentials to access FortiGate SSL-VPN devices. The credentials were obtained from systems that have not yet implemented the patch update provided in May 2019. Since May 2019, Fortinet has continuously communicated with customers urging the implementation of mitigations, including corporate blog posts in August 2019, July 2020, April 2021 and June 2021 For more information, please refer to our latest blog. We will be issuing another advisory strongly recommending that customers implement both the patch upgrade and password reset as soon as possible.” (Fortinet)
Si ritiene che gli account siano stati compromessi tramite una vulnerabilità scoperta in precedenza nel prodotto. Ad aprile, le agenzie federali avevano avvertito di molteplici falle di sicurezza nella VPN di Fortinet che avrebbero potuto consentire l’accesso agli hacker. Da allora alla società sono state rilasciate patch per tali falle di sicurezza, anche se apparentemente ciò non ha impedito a molti utenti di compromettere le informazioni sugli account.
VPN Fortinet leak: i collegamenti con la banda ransonmware Groove
Secondo una ricerca della società di sicurezza Advanced Intel, si pensa che Orange sia un membro della banda di ransomware “Groove”. Si dice che abbiano anche lavorato in precedenza per Babuk, un’importante banda di ransomware che ha tentato di estorcere milioni di dollari al dipartimento di polizia di Washington D.C. all’inizio di quest’anno.
Gizmodo.com
Groove ha recentemente lanciato un nuovo forum sulla criminalità informatica chiamato RAMP e i ricercatori hanno teorizzato che la banda potrebbe aver divulgato gli account VPN per attirare l’attenzione sulla loro nuova impresa commerciale.