CISA advarer om de sårbare Fortinet VPN-passordene

United States Cybersecurity and Infrastructure Security Agency (CISA) ga ut en advarsel angående lekkede passord som potensielt kan påvirke Fortinet VPN-er.

Det amerikanske statsbyrået ga sin formelle advarsel i slutten av november 2020. Reaksjonen kom som svar på kjente trusselsaktører som la ut påstander om passordlekkasjer på hacker-underjordiske fora.

CISA kommenterte ikke om passordlekkasjer er ekte eller ikke, men ga en advarsel til de som kjører Fortinets plattform. Det hovedkontoret i California har utstedt offisiell veiledning til sine kunder, og CISA gjentar det og understreker behovet for umiddelbare oppdateringer som vil adressere det aktuelle sårbarheten.

FortiOS har hatt denne sårbarheten en stund, og den er kodifisert som CVE 2018-13379. Imidlertid har det blitt adressert, og brukere trenger bare å bruke de aktuelle oppdateringene.

Den dårlige skuespilleren som hevdet at de hadde tilgang til påloggingsinformasjonen til Fortinet-brukere, baserte også sine krav på samme sårbarhet. Enheten som bruker håndtaket 'pumpedupkicks', la ut en liste over nesten 50000 IP-er som angivelig var sårbare for CVE 2018-13379 og hevdet også at de hadde legitimasjon for ren tekst for disse kontoene.

Med mindre de berørte brukerne oppdaterer sine VPN-er for å løse sårbarheten, er det en veldig reell fare for angrep ved bruk av lekkede IP-er og legitimasjon.

Situasjonen ble eskalert til byråets oppmerksomhet fordi det var data om trusselaktører som setter sammen flere sårbarheter, inkludert den som er nevnt ovenfor, for å angripe nettverk på amerikansk jord.

Sommeren 2020 avslørte Fortinet også at CVE 2018-13379 ble utnyttet av APT29 - en avansert vedvarende trusselsaktør som antas å stamme fra Russland - for å stjele informasjon knyttet til den pågående utviklingen av Covid-19-vaksiner fra institusjoner i USA, Storbritannia og Canada.