Hacker publica credenciais de 500.000 dispositivos Fortinet VPN

Soube-se que o administrador do fórum RAMP e ex-operador do grupo de hackers Babuk publicou na Internet os logins e senhas de 500 mil dispositivos Fortinet VPN comprometidos. As vulnerabilidades de software neles foram eliminadas pelos desenvolvedores, mas os administradores não alteraram os dados para acessá-los. O arquivo é hospedado por membros do grupo Groove, por trás do qual, presume-se, estão os operadores do desintegrado Babuk.

Imagem: CNews

De acordo com a fonte, os dados para acessar dispositivos VPN foram coletados ao longo de vários meses. Observa-se que antes da publicação, os detalhes foram verificados quanto à conformidade e operacionalidade. Segundo relatos, o hacker explorou uma vulnerabilidade no sistema operacional FortiOS, que foi rastreado com o identificador CVE-2018-13379. Esta vulnerabilidade afetou os dispositivos do Fortigate e permitiu que usuários não autorizados baixassem arquivos do sistema usando solicitações HTTP especiais.

É importante notar que, desde a primavera de 2021, a vulnerabilidade do FortiOS mencionada, juntamente com duas outras (CVE-2019-5591 e CVE-2020-12812), foram ativamente exploradas por diferentes grupos de hackers. As campanhas maliciosas chamaram a atenção do FBI e da Agência de Segurança de Infraestrutura Digital (CISA) dos Estados Unidos, que emitiu um alerta sobre ataques a dispositivos feitos pela Fortinet.

A fonte observa que o representante do grupo Groove que publicou o banco de dados de contas de dispositivos VPN carrega o mesmo pseudônimo SongBird do ex-operador do grupo Babuk e administrador do fórum RAMP, especializado em ransomware. Outra fonte cita o autor da publicação Orange, mas também menciona seu envolvimento nos hackers de Babuk e no fórum RAMP.