CISA advarer om de sårbare Fortinet VPN-adgangskoder

United States Cybersecurity and Infrastructure Security Agency (CISA) udsendte en advarsel om lækkede adgangskoder, der potentielt kunne påvirke Fortinet VPN'er.

Det amerikanske statsagentur udsendte sin formelle advarsel i slutningen af november 2020. Reaktionen kom som reaktion på kendte trusselsaktører, der stillede krav om adgangskodelækager på hackere underjordiske fora.

CISA fremsatte ingen kommentarer til, om adgangskodelækagerne er ægte eller ej, men udsendte en advarsel til dem, der kører Fortinets platform. Det hovedsæde i Californien har udstedt officiel vejledning til sine kunder, og CISA gentager det og understreger behovet for øjeblikkelige opdateringer, der vil imødegå den pågældende sårbarhed.

FortiOS har haft denne sårbarhed i et stykke tid, og den er blevet kodificeret som CVE 2018-13379. Det er dog blevet behandlet, og brugerne skal simpelthen anvende de relevante opdateringer.

Den dårlige skuespiller, der hævdede, at de havde adgang til loginoplysninger fra Fortinet-brugere, baserede også deres krav på den samme sårbarhed. Enheden, der bruger håndtaget 'pumpedupkicks', offentliggjorde en liste over næsten 50.000 IP'er, der angiveligt var sårbare over for CVE 2018-13379 og hævdede også, at de havde almindelig tekstlegitimationsoplysninger for disse konti.

Medmindre de berørte brugere lapper deres VPN'er for at løse sårbarheden, er der en meget reel fare for angreb ved hjælp af de lækkede IP'er og legitimationsoplysninger.

Situationen blev eskaleret til agenturets opmærksomhed, fordi der var data om trusselaktører, der snor sammen flere sårbarheder, herunder den ovennævnte, for at angribe netværk på amerikansk jord.

I sommeren 2020 afslørede Fortinet også, at CVE 2018-13379 blev udnyttet af APT29 - en avanceret vedvarende trusselsaktør, der menes at stamme fra Rusland - til at stjæle information i forbindelse med den igangværende udvikling af Covid-19-vacciner fra institutioner i USA, Storbritannien og Canada.