El uso de las VPN (Virtual Private Networks) se ha popularizado en los últimos años entre los usuarios residenciales que buscan un plus de anonimato y privacidad cuando navegan por internet. En esencia, se trata de establecer una red privada con la que enmascarar la dirección IP y, de este modo, impedir que se pueda rastrear la actividad que se realiza en la red, procurando conexiones seguras y encriptadas. Sin embargo, esta medida no ha frenado a los ciberdelincuentes, que han sido capaces de hacerse con las credenciales de VPN de uno de los principales fabricantes de seguridad: Fortinet.

Con el alias de Pumpedkicks, un cibercriminal ha publicado las credenciales de cerca de 50.000 dispositivos VPN Fortinet Fortigate, especialmente en los dispositivos VPN FortiOS SSL que, como suele suceder en estos casos, no habían instalado los parches de seguridad del fabricante. Ni siquiera se trataba de los últimos parches, dado que Fortinet los publicó en mayo de 2019, después de que le hubiera sido notificada en diciembre de 2018.

En un principio, tan sólo se informó de que estos exploits facilitaban el robo de credenciales VPN, pero a medida que transcurrían las horas se confirmó la publicación de dichas credenciales como texto sin formato en diversos foros de piratería, revelándose de este modo los nombres de usuario, contraseñas, niveles de acceso los usuarios y las IP desenmascaradas. En total y a pesar de que cuando se descarga el archivo comprimido RAR sólo es de 36MB, se trata de casi 7GB de información de 49.577 dispositivos que podrían hacer las delicias de cualquier ciberdelincuente, tal y como reveló Bank Security en su cuenta de Twitter. Entre los afectados destacan cerca de casi cuarenta instituciones financieras y gubernamentales.

The Threat Actor "pumpedkicks" shared a list of 49,577 IPs vulnerable to Fortinet SSL VPN CVE-2018-13379.

The Actor also claims to have the clear text credentials associated with these IPs. pic.twitter.com/usIyKi3Tl0

— Bank Security (@Bank_Security) November 19, 2020

Para ello el hacker mailintencionado explotó la vulnerabilidad de FortiOS  CVE-2018-13379, lo que le permitió acceder a los archivos sensibles ‘sslvpn_websession’ de las VPN. Esta exposición permitiría que, incluso si ahora se parchean estos dispositivos comprometidos, las credenciales podrían volver a ser utilizadas si no son modificadas. Por este motivo, además de instalar los parches, es recomendable modificar las contraseñas, no sólo de todos los dispositivos VPN, sino también de cualquier otro sitio web donde se hayan utilizado esas mismas credenciales.

Las intenciones de Pumpedkicks no están claras, si bien diversas publicaciones revelan que la información publicada distingue las IP de VPN con sede en Pakistán e incluye un archivo de imagen llamado ‘f ** k israel.jpg’ que representa la imagen de Hitler con la leyenda de "Sí, podemos" al estilo del cartel de la campaña presidencial de Obama en 2008.

Sea como fuere, desde la CISA (Cybersecurity and Infrastructure Security Agency) de EEUU ya se alertó de los intentos de utilizar esta vulnerabilidad por parte de ciberdelincuentes durante las últimas elecciones presidenciales, tanto en redes del gobierno federal como estatales, locales, tribales y territoriales. Previamente, la propia Fortinet había alertado de cómo grupos avanzados de amenazas persistentes, incluido APT 29 (conocido como Cozy Bear), habían utilizado la vulnerabilidad para atacar el desarrollo de la vacuna COVID-19 en Canadá, EEUU y Reino Unido.