-
09/04/2020
-
93
-
600 bài viết
Rò rỉ mật khẩu tài khoản VPN của 87.000 thiết bị Fortinet FortiGate
Nhà cung cấp giải pháp an ninh mạng Fortinet xác nhận, một hacker đã tiết lộ trái phép tên đăng nhập và mật khẩu truy cập VPN của 87.000 thiết bị FortiGate SSL-VPN.
Hãng cho biết: “Sự việc này liên quan đến các hệ thống bị ảnh hưởng bởi lỗ hổng CVE-2018-13379 chưa được vá. Ngay cả khi đã được vá thành công, nhưng nếu không đổi mật khẩu tài khoản VPN, tin tặc vẫn có thể dễ dàng tấn công vào hệ thống.
Tiết lộ được đưa ra sau khi tin tặc làm rò rỉ danh sách thông tin xác thực Fortinet miễn phí trên một diễn đàn nói tiếng Nga có tên RAMP và trên trang web rò rỉ dữ liệu của Groove ransomware. Advanced Intel lưu ý rằng "danh sách vi phạm có chứa raw access với các công ty hàng đầu tại khắp 74 quốc gia, bao gồm Ấn Độ, Đài Loan, Ý, Pháp và Israel. 2.959 trong số 22.500 nạn nhân là các doanh nghiệp của Hoa Kỳ.
CVE-2018-13379 liên quan đến lỗ hổng path traversal trong cổng web FortiOS SSL VPN, cho phép những kẻ tấn công chưa được xác thực đọc các tệp tin của hệ thống tùy ý, bao gồm cả tệp về phiên làm việc có chứa tên người dùng và mật khẩu được lưu trữ dưới dạng plaintext.
Mặc dù lỗ hổng đã có bản vá vào tháng 5/2019, nhiều hacker vẫn liên tục triển khai các payload độc hại trên các thiết bị chưa được vá, khiến Fortinet phải đưa ra một loạt các khuyến cáo nhắc nhở khách hàng nâng cấp các thiết bị bị ảnh hưởng trong tháng 8 năm 2019 , tháng 7 năm 2020, tháng 4 năm 2021 và một lần nữa vào tháng 6 năm 2021.
CVE-2018-13379 cũng “nổi danh” là một trong những lỗ hổng được khai thác nhiều nhất vào năm 2020, theo danh sách do các cơ quan tình báo ở Úc, Anh và Mỹ tổng hợp vào đầu năm nay.
Fortinet khuyến nghị các công ty nên vô hiệu hóa ngay lập tức tất cả các VPN, nâng cấp thiết bị lên bản FortiOS 5.4.13, 5.6.14, 6.0.11 hoặc 6.2.8 trở lên, sau đó bắt đầu đặt lại mật khẩu toàn tổ chức. Hãng cũng cảnh báo rằng "người dùng có thể vẫn dễ bị tấn công sau khi nâng cấp nếu thông tin đăng nhập đã bị xâm phạm trước đó".
Tiết lộ được đưa ra sau khi tin tặc làm rò rỉ danh sách thông tin xác thực Fortinet miễn phí trên một diễn đàn nói tiếng Nga có tên RAMP và trên trang web rò rỉ dữ liệu của Groove ransomware. Advanced Intel lưu ý rằng "danh sách vi phạm có chứa raw access với các công ty hàng đầu tại khắp 74 quốc gia, bao gồm Ấn Độ, Đài Loan, Ý, Pháp và Israel. 2.959 trong số 22.500 nạn nhân là các doanh nghiệp của Hoa Kỳ.
CVE-2018-13379 liên quan đến lỗ hổng path traversal trong cổng web FortiOS SSL VPN, cho phép những kẻ tấn công chưa được xác thực đọc các tệp tin của hệ thống tùy ý, bao gồm cả tệp về phiên làm việc có chứa tên người dùng và mật khẩu được lưu trữ dưới dạng plaintext.
Mặc dù lỗ hổng đã có bản vá vào tháng 5/2019, nhiều hacker vẫn liên tục triển khai các payload độc hại trên các thiết bị chưa được vá, khiến Fortinet phải đưa ra một loạt các khuyến cáo nhắc nhở khách hàng nâng cấp các thiết bị bị ảnh hưởng trong tháng 8 năm 2019 , tháng 7 năm 2020, tháng 4 năm 2021 và một lần nữa vào tháng 6 năm 2021.
CVE-2018-13379 cũng “nổi danh” là một trong những lỗ hổng được khai thác nhiều nhất vào năm 2020, theo danh sách do các cơ quan tình báo ở Úc, Anh và Mỹ tổng hợp vào đầu năm nay.
Fortinet khuyến nghị các công ty nên vô hiệu hóa ngay lập tức tất cả các VPN, nâng cấp thiết bị lên bản FortiOS 5.4.13, 5.6.14, 6.0.11 hoặc 6.2.8 trở lên, sau đó bắt đầu đặt lại mật khẩu toàn tổ chức. Hãng cũng cảnh báo rằng "người dùng có thể vẫn dễ bị tấn công sau khi nâng cấp nếu thông tin đăng nhập đã bị xâm phạm trước đó".
Nguồn: The Hacker News
Chỉnh sửa lần cuối: