Hackers have posted configuration and login credentials for 15,000 Fortinet FortiGate firewalls on the dark web. This is older data not linked to a recent security breach.
Het is nog geen goede jaar geweest voor beveiligingsspecialist voor Fortinet. Terwijl het bedrijf kampt met een beveiligingslek in zijn FortiGate-firewalls, is een week geleden een database met gelekte gegevens van diezelfde apparaten opgedoken. Fortinet bevestigt het lek, maar benadrukt dat het gaat om gegevens uit 2022 of ouder die niet gelinkt zijn aan het meest recente incident.
De database bevat gegevens van maar liefst 15.000 FortiGate-apparaten. Het gaat om configuratiegegevens, maar ook IP-adressen, domeinnamen en VPN-inloggegevens. Die combinatie kan hackers vrije toegang geven tot het netwerk van bedrijven.
Mexico
German newspaper Heise sifted through the data and found that the bulk of affected devices came from Mexico (1,603) and the United States (679). But the leak also impacts European companies. 208 of the affected firewalls come from Germany. There is no mention of other countries.
For a database of this size to be shared for free in one fell swoop is highly unusual. Hackers usually only share a “test sample” of leaked data to prove the authenticity of the data. The grouping Belsen Group is believed to be behind the leak, according to Bleeping Computer. This is a new name in the hacker world that may want to put itself in the spotlight with this action.
Old data
The data was most likely captured in 2022 or earlier. In October 2022, Fortinet rolled out the FortiOS 7.2.2 patch for its firewalls to close a security vulnerability that was being actively exploited at the time. Experts suspect that that vulnerability (CVE-2022-40684) was exploited to steal data. The firewalls in the database were running on older versions of the operating system.
read also
Data from 15,000 FortiGate firewalls leaked on dark web
Dat het om oudere gegevens gaat, maakt het lek daarom niet minder schadelijk. Heise ontdekte dat tientallen IP-adressen in de database nog steeds toegankelijk zijn. In combinatie met de VPN-inloggegevens kan de database hackers nog nuttige informatie bezorgen om de toegankelijke netwerken binnen te dringen, als de inloggegevens sindsdien niet meer veranderd zijn.
Beveiligingsonderzoekers hebben via GitHub een lijst met domeinen gedeeld die kunnen worden teruggevonden in het gelekte bestand. Dat doen ze om de betrokkenen te waarschuwen zodat zij actie kunnen ondernemen. De lijst omvat lang niet alle slachtoffers, maar enkel beheerders die een emailparameter hadden ingeschakeld.
De geschiedenis dreigt zich te herhalen voor Fortinet. Het bedrijf worstelt met een kritiek lek in FortiGate-firewalls dat actief wordt misbruikt. Kwetsbaarheden kunnen jaren later nog als een boemerang terugkeren voor beveiligingsleveranciers.
Dit artikel verscheen origineel op 16 januari en kreeg een update met de recentste informatie.