CISA varnar för de sårbara Fortinet VPN-lösenorden

United States Cybersecurity and Infrastructure Security Agency (CISA) utfärdade en varning om läckta lösenord som potentiellt kan påverka Fortinet VPN.

Den amerikanska statliga myndigheten utfärdade sin formella varning i slutet av november 2020. Reaktionen kom som svar på kända hotaktörer som publicerade påståenden om lösenordläckage på hackers underjordiska forum.

CISA gjorde inga kommentarer om huruvida lösenordsläckorna är äkta eller inte, men utfärdade en varning till dem som kör Fortinets plattform. Kaliforniens huvudkontor har utfärdat officiell vägledning till sina kunder och CISA upprepar det och betonar behovet av omedelbara uppdateringar som kommer att ta itu med sårbarheten i fråga.

FortiOS har haft denna sårbarhet ett tag och den har kodats som CVE 2018-13379. Det har dock tagits upp och användare behöver helt enkelt tillämpa relevanta uppdateringar.

Den dåliga skådespelaren som hävdade att de hade tillgång till inloggningsuppgifter för Fortinet-användare baserade också sina anspråk på samma sårbarhet. Enheten som använde handtaget 'pumpedupkicks' lade upp en lista med nästan 50 000 IP-adresser som påstås vara utsatta för CVE 2018-13379 och hävdade också att de hade referenser för ren text för dessa konton.

Såvida inte de drabbade användarna lappar sina VPN för att hantera sårbarheten, finns det en mycket verklig risk för attacker som använder läckta IP-adresser och referenser.

Situationen eskalerade till uppmärksamheten av byrån eftersom det fanns uppgifter om aktörer hot som kopplas ihop flera sårbarheter, inklusive den som nämns ovan, att attackera nätverk på amerikansk mark.

Sommaren 2020 avslöjade Fortinet också att CVE 2018-13379 utnyttjades av APT29 - en avancerad ihållande hotaktör som tros ha sitt ursprung i Ryssland - för att stjäla information kopplad till den pågående utvecklingen av Covid-19-vacciner från institutioner i USA, Storbritannien och Kanada.