Hottub para administradores de red que usan el firewall FortiGate Maduro en su entorno informático. Después de un Flaw de día cero explotado en los firewalls de este proveedorEl investigador de ciberseguridad Florian Roth tiene lanzó otra alerta. Esta advertencia sigue el análisis que realizó con los datos de configuración de FortiGate Stolen Equipment, publicado a principios de mes por un actor malicioso llamado Belsen Group. Estos datos, que se supone que contienen los parámetros de configuración de 15,000 firewalls, serían de gran valor para los piratas informáticos. "Si la seguridad es importante para usted, debe evaluar el compromiso de los terminales y otros sistemas de su red afectada [...] Las soluciones no son suficientes. El investigador también los insta a tratar este caso como un incidente de seguridad.

En el origen de este descubrimiento, Kevin BeaumontTambién un investigador de seguridad, que encontró después del examen de los datos publicados por este Cybergang. Contenían direcciones IP, contraseñas claras y ciertas direcciones electrónicas de usuarios o sus empresas. En vista de esta información, algunos también se preguntan por qué los administradores han autorizado el almacenamiento de contraseñas en Clare en un archivo de configuración. Sr. Roth ha agrupado las direcciones electrónicas por dominio de primer nivel Para ayudar a los equipos de RSSI y de seguridad a determinar si su negocio estaba preocupado. Sin embargo, advirtió que algunas de las áreas podrían ser las de los servicios de mensajería gratuitos o los proveedores de servicios que trabajan para víctimas reales.

Índice
  1. Medidas a tomar para evitar la hazaña
  2. Un defecto siempre peligroso

Medidas a tomar para evitar la hazaña

Por su parte, después de la publicación la semana pasada, los datos robados por el grupo Belsen, Fortinet fue quería tranquilizarDeclarando que la información expuesta había sido capturada de una vulnerabilidad de 2022 y agregada para parecerse a una nueva divulgación. "Nuestro análisis de los dispositivos en cuestión muestra que la mayoría de ellos se han actualizado durante mucho tiempo a versiones más recientes", dijo la compañía. La lista no incluye ninguna configuración para Fortios 7.6 o 7.4 (las versiones más recientes del sistema operativo Fortinet), "ni ninguna configuración reciente para 7.2 y 7.0". "Si su empresa siempre ha respetado las mejores prácticas de rutina actualizando regularmente la información de identificación de seguridad y ha tomado las medidas recomendadas en años anteriores, el jugador de amenazas ha revelado muy poco riesgo de la configuración actual de la empresa o la información de identificación", dijo Fortinet.

“Continuamos recomendando encarecidamente a las empresas que tomen las medidas recomendadas, si aún no lo han hecho, para mejorar su postura de seguridad. También podemos confirmar que el equipo comprado desde diciembre de 2022 o que solo ha ejecutado Fortios 7.2.2 o una versión más reciente no se ve afectada por la información divulgada por este actor de la amenaza. "Sin embargo, el proveedor agrega que si una empresa" usó una versión afectada (7.0.6 y más bajo o 7.2.1 y más bajo) antes de noviembre de 2022 y que aún no ha tomado las medidas recomendadas en la opinión [d'octobre 2022] ", Debe revisar las acciones recomendadas para mejorar su postura de seguridad. Los investigadores de Censys piensan Que un poco más de 5,000 de los 15,000 dispositivos FortiGate de compromiso aún exponen sus interfaces de conexión web. "Incluso si aplicó una corrección en 2022, es posible que aún haya sido explotado, porque las configuraciones fueron vaciadas hace años y acaban de ser publicadas", escribió el Sr. Beaumont. “Es mejor saber cuándo se aplicó esta corrección. Tenga la configuración completa de un dispositivo, incluidas todas las reglas del firewall, esto representa mucha información ... "

Un defecto siempre peligroso

Si bien los datos aparentemente se recopilaron hace poco más de dos años, no sabemos por qué se difunde ahora. En un artículo publicado la semana pasada y analizando los datos, los investigadores de Censys indicar Ese grupo de Belsen es un jugador reciente en la amenaza y que recientemente puede comprar o reunir los datos a la venta por los piratas iniciales. Censys también cree que incluso si las medidas fueron tomadas por los administradores de FortiGate hace dos años, después del descubrimiento de vulnerabilidad, "todavía es relevante y podría causar daños". A menudo, las reglas de configuración de los firewalls no se modifican, a menos que un incidente de seguridad específico requiera una actualización. “También puede suceder que algunos de estos firewalls hayan cambiado a los propietarios mientras tanto, pero estos casos también son raros. »»