Хакеры из группировки Belsen Group выложили в даркнете конфиденциальные данные 15 тысяч устройств FortiGate. Выложенная база данных содержит различную информацию о конфигурационных файлах, IP‑адресах и учётных данных VPN. Согласно сообщению Belsen Group на хак‑форумах, публикация стала их первым крупным шагом в индустрии.
Группировка заявила, что целью было продемонстрировать свою деятельность и привлечь внимание к себе. Архив объёмом 1,6 ГБ на момент написания статьи доступен для скачивания. В выложенной базе данных находятся папки, отсортированные по странам, а внутри каждой папки находятся подпапки с данными по конкретным IP‑адресам, файлами конфигурации устройств, приватные ключи и учетные данные для доступа к VPN.
Исследователь в области информационной безопасности Кевин Бомонт, который первым изучил утечку, отметил, что среди файлов есть конфиденциальные данные, в том числе пароли в открытом виде. Некоторые из данных, как например пароли, являются открытым текстом, что значительно облегчает возможные атаки.
По мнению Бомонта, утечка могла быть связана с известной уязвимостью CVE-2022–40 684. Эта уязвимость активно использовалась злоумышленниками в 2022 году. CVE-2022–40 684 позволяла злоумышленникам скачивать конфигурационные файлы с устройств FortiGate и создавать новые учетные записи с повышенными привилегиями (super_admin). Также исследователь добавил, что в ходе анализа артефактов на одном из устройств была выявлена эксплуатация этой уязвимости, а пароли из дампа совпали с данными с устройства.
Производитель устройств FortiGate компания Fortinet ещё в 2022 году предупредила о возможных атаках с использованием CVE-2022–40 684 и выпустила соответствующие патчи, однако не все устройства были обновлены вовремя. Поэтому данные из 2022 года все равно остаются актуальными и критически важными.
Источник новости: habr.com
