Dicha vulnerabilidad está identificada como CVE-2018-13379, este error ya se identificó el año 2018 y se aprovecha de una falla de Path Traversal. Esta vulnerabilidad afecta a muchos dispositivos FortiNet FortiOS SSL VPN sin parchear, además, se le atribuye una gravedad de 9.8 sobre 10. Fortinet lanzo un parche en mayo de 2019 que corrige este error, aunque todavía existen miles de dispositivos sin la actualización que soluciona este error. Las versiones afectadas por esta vulnerabilidad son FortiOS 6.0.0-6.0.4, FortiOS 5.6.3-5.6.7 y FortiOS 5.4.6 – 5.4.12.
Aprovechando esta vulnerabilidad el atacante remotamente y sin autenticación puede acceder a una lista con los archivos sslvpn_websession de las VPN de FortiNet donde entre otra información se encuentran las credenciales de inicio de sesión. El atacante puede robar estas credenciales y utilizarlas para poner en peligro una red e implementar algún archivo o código malicioso.
El analista Bank Security fue quien se topó con un hilo en un foro donde se había publicado una gran lista de 49.577 dispositivos donde está vulnerabilidad puede ser explotada.
Tras realizar un análisis de estos objetivos vulnerables el analista se topó con que muchos pertenecen a dominios gubernamentales, bancos y compañías financieras reconocidas.
Para identificar que organizaciones se ven afectadas en esta
lista, el analista realizo un nslookup en todas las direcciones IP de la lista
y, para muchas de ellas encontró que todavía tiene el dominio asociado. Tras
realizar el análisis, el propio analista refino aún más los resultados
obtenidos con la idea de identificar los nombres de dominio asociados con bancos
notables y organizaciones de interés. Este tipo de errores siguen siendo muy
explotados debido a la lentitud que tienen las organizaciones en el proceso de
parcheo y la sencillez de explotación de este tipo de fallos.
No hay comentarios:
Publicar un comentario