Un Hacker conocido en línea como "pumpedkicks" ha publicado en línea una lista de exploits de una línea que podrían usarse para robar credenciales de VPN de casi 50.000 dispositivos VPN de Fortinet. La lista contiene 49.577 IP vulnerables a Fortinet SSL VPN CVE-2018-13379, según investigadores de Bank Security, quienes notaron por primera vez la filtración.
La lista de objetivos vulnerables incluye dominios que pertenecen a grandes empresas, instituciones financieras y organizaciones gubernamentales de todo el mundo.
CVE-2018-13379 es un problema de recorrido de ruta en el portal web FortiOS SSL VPN, que permite a un atacante remoto realizar un ataque transversal de directorio y descargar archivos arbitrarios del portal web FortiOS SSL VPN, cargar archivos maliciosos en sistemas sin parches y hacerse cargo de Fortinet VPN servidores.
Según el investigador de seguridad Ax Sharma, que examinó el exploit compartido por "pumpedkicks", el exploit podría permitir a los atacantes acceder a los archivos sslvpn_websession de las VPN de FortiNet para robar las credenciales de inicio de sesión, que luego podrían usarse para comprometer una red e implementar malware.
Aunque la falla se reveló hace más de un año, muchas organizaciones aún tienen que parchear sus sistemas a pesar de las múltiples advertencias de los expertos en seguridad. Una de las advertencias más recientes es una alerta conjunta lanzada por el FBI y CISA el mes pasado que destaca los ataques a las redes gubernamentales estatales, locales, tribales y territoriales de EE. UU. En las que hackers sofisticados combinan vulnerabilidades de VPN y Windows.
