El uso de las VPN (Virtual Private Networks) se ha popularizado en los últimos años entre los usuarios residenciales que buscan un plus de anonimato y privacidad cuando navegan por internet. En esencia, se trata de establecer una red privada con la que enmascarar la dirección IP y, de este modo, impedir que se pueda rastrear la actividad que se realiza en la red, procurando conexiones seguras y encriptadas. Sin embargo, esta medida no ha frenado a los ciberdelincuentes, que han sido capaces de hacerse con las credenciales de VPN de uno de los principales fabricantes de seguridad: Fortinet.
Con el alias de Pumpedkicks, un cibercriminal ha publicado las credenciales de cerca de 50.000 dispositivos VPN Fortinet Fortigate, especialmente en los dispositivos VPN FortiOS SSL que, como suele suceder en estos casos, no habían instalado los parches de seguridad del fabricante. Ni siquiera se trataba de los últimos parches, dado que Fortinet los publicó en mayo de 2019, después de que le hubiera sido notificada en diciembre de 2018.
En un principio, tan sólo se informó de que estos exploits facilitaban el robo de credenciales VPN, pero a medida que transcurrían las horas se confirmó la publicación de dichas credenciales como texto sin formato en diversos foros de piratería, revelándose de este modo los nombres de usuario, contraseñas, niveles de acceso los usuarios y las IP desenmascaradas. En total y a pesar de que cuando se descarga el archivo comprimido RAR sólo es de 36MB, se trata de casi 7GB de información de 49.577 dispositivos que podrían hacer las delicias de cualquier ciberdelincuente, tal y como reveló Bank Security en su cuenta de Twitter. Entre los afectados destacan cerca de casi cuarenta instituciones financieras y gubernamentales.
The Threat Actor "pumpedkicks" shared a list of 49,577 IPs vulnerable to Fortinet SSL VPN CVE-2018-13379.
The Actor also claims to have the clear text credentials associated with these IPs. pic.twitter.com/usIyKi3Tl0
— Bank Security (@Bank_Security) November 19, 2020
Para ello el hacker mailintencionado explotó la vulnerabilidad de FortiOS CVE-2018-13379, lo que le permitió acceder a los archivos sensibles ‘sslvpn_websession’ de las VPN. Esta exposición permitiría que, incluso si ahora se parchean estos dispositivos comprometidos, las credenciales podrían volver a ser utilizadas si no son modificadas. Por este motivo, además de instalar los parches, es recomendable modificar las contraseñas, no sólo de todos los dispositivos VPN, sino también de cualquier otro sitio web donde se hayan utilizado esas mismas credenciales.
Las intenciones de Pumpedkicks no están claras, si bien diversas publicaciones revelan que la información publicada distingue las IP de VPN con sede en Pakistán e incluye un archivo de imagen llamado ‘f ** k israel.jpg’ que representa la imagen de Hitler con la leyenda de "Sí, podemos" al estilo del cartel de la campaña presidencial de Obama en 2008.
Sea como fuere, desde la CISA (Cybersecurity and Infrastructure Security Agency) de EEUU ya se alertó de los intentos de utilizar esta vulnerabilidad por parte de ciberdelincuentes durante las últimas elecciones presidenciales, tanto en redes del gobierno federal como estatales, locales, tribales y territoriales. Previamente, la propia Fortinet había alertado de cómo grupos avanzados de amenazas persistentes, incluido APT 29 (conocido como Cozy Bear), habían utilizado la vulnerabilidad para atacar el desarrollo de la vacuna COVID-19 en Canadá, EEUU y Reino Unido.
Comentarios Solo las personas que pertenecen a la República de Público pueden escribir comentarios y debatir nuestras noticias. Nuestro objetivo es crear un debate enriquecedor y libre de trolls. Únete aquí para expresar tu opinión en un medio que le da valor a sus lectores y al intercambio de ideas con el respeto como principio fundamental. Si ya formas parte, solo tienes que iniciar sesión.
Si únicamente quieres leer los comentarios que se han publicado, puedes registrarte aquí para poder hacerlo.
Comentarios
<% if(canWriteComments) { %> <% } else { %>Para poder comentar en esta noticia antes tienes que unirte a la República de Público, puedes hacerlo aquí.
<% } %>Comentarios:
<% if(_.allKeys(comments).length > 0) { %> <% _.each(comments, function(comment) { %>-
<% if(comment.user.image) { %>
![<%= comment.user.username %>]()
<% } else { %>
<%= comment.user.firstLetter %>
<% } %>
<%= comment.user.username %>
<%= comment.published %>
<%= comment.dateTime %>
<%= comment.text %>
<% if (comment.actions.selected && comment.actions.selected != '') { %>
<% if (comment.actions.selected == 'love') { %>
Me encanta
<% } %>
<% if (comment.actions.selected == 'laugh') { %>
Me parto
<% } %>
<% if (comment.actions.selected == 'dizzy') { %>
Flipo
<% } %>
<% if (comment.actions.selected == 'cry') { %>
Me entristece
<% } %>
<% if (comment.actions.selected == 'pout') { %>
Me cabrea
<% } %>
<% if (comment.actions.selected == 'sleep') { %>
Qué aburrimiento
<% } %>
<% if (comment.actions.selected == 'mute') { %>
Sin palabras
<% } %>
<% } else { %>
¿cómo te quedas?
<% } %>
<% if(canWriteComments) { %>
Me encanta
Me parto
Flipo
Me entristece
Me cabrea
Qué aburrimiento
Sin palabras
<% } %>
Responder
<% if(_.allKeys(comment.children.models).length > 0) { %>
<% }); %>
<% } else { %>
- No hay comentarios para esta noticia.
<% } %>
Mostrar más comentarios<% if (comment.actions.love && comment.actions.love > 0) { %>-
<% } %>
<% if (comment.actions.laugh && comment.actions.laugh > 0) { %>
-
<% } %>
<% if (comment.actions.dizzy && comment.actions.dizzy > 0) { %>
-
<% } %>
<% if (comment.actions.cry && comment.actions.cry > 0) { %>
-
<% } %>
<% if (comment.actions.pout && comment.actions.pout > 0) { %>
-
<% } %>
<% if (comment.actions.sleep && comment.actions.sleep > 0) { %>
-
<% } %>
<% if (comment.actions.mute && comment.actions.mute > 0) { %>
-
<% } %>
<% if(comment.actions.count == 0){ %>
-
<% } else { %>
-
<% } %>
<%= comment.actions.count %>
<% if (comment.actions.love && comment.actions.love > 0) { %>
Me encanta: <%= comment.actions.love %>
Me parto: <%= comment.actions.laugh %>
Flipo: <%= comment.actions.dizzy %>
Me entristece: <%= comment.actions.cry %>
Me cabrea: <%= comment.actions.pout %>
Qué aburrimiento: <%= comment.actions.sleep %>
Sin palabras: <%= comment.actions.mute %>
Me encanta: <%= comment.actions.love %>
<% } %> <% if (comment.actions.laugh && comment.actions.laugh > 0) { %>Me parto: <%= comment.actions.laugh %>
<% } %> <% if (comment.actions.dizzy && comment.actions.dizzy > 0) { %>Flipo: <%= comment.actions.dizzy %>
<% } %> <% if (comment.actions.cry && comment.actions.cry > 0) { %>Me entristece: <%= comment.actions.cry %>
<% } %> <% if (comment.actions.pout && comment.actions.pout > 0) { %>Me cabrea: <%= comment.actions.pout %>
<% } %> <% if (comment.actions.sleep && comment.actions.sleep > 0) { %>Qué aburrimiento: <%= comment.actions.sleep %>
<% } %> <% if (comment.actions.mute && comment.actions.mute > 0) { %>Sin palabras: <%= comment.actions.mute %>
<% } %><% _.each(comment.children.models, function(children) { %> <% children = children.toJSON() %>-
<% if(children.user.image) { %>
![<%= children.user.username %>]()
<% } else { %>
<%= children.user.firstLetter %>
<% } %>
<% if(children.parent.id != comment.id) { %>
en respuesta a <%= children.parent.username %>
<% } %>
<%= children.user.username %>
<%= children.published %>
<%= children.dateTime %>
<%= children.text %>
<% if (children.actions.selected && children.actions.selected != '') { %>
<% if (children.actions.selected == 'love') { %>
Me encanta
<% } %>
<% if (children.actions.selected == 'laugh') { %>
Me parto
<% } %>
<% if (children.actions.selected == 'dizzy') { %>
Flipo
<% } %>
<% if (children.actions.selected == 'cry') { %>
Me entristece
<% } %>
<% if (children.actions.selected == 'pout') { %>
Me cabrea
<% } %>
<% if (children.actions.selected == 'sleep') { %>
Qué aburrimiento
<% } %>
<% if (children.actions.selected == 'mute') { %>
Sin palabras
<% } %>
<% } else { %>
¿cómo te quedas?
<% } %>
Me encanta
Me parto
Flipo
Me entristece
Me cabrea
Qué aburrimiento
Sin palabras
Responder
<% }); %>
<% } %> <% if(canWriteComments) { %> <% } %><% if (children.actions.love && children.actions.love > 0) { %>-
<% } %>
<% if (children.actions.laugh && children.actions.laugh > 0) { %>
-
<% } %>
<% if (children.actions.dizzy && children.actions.dizzy > 0) { %>
-
<% } %>
<% if (children.actions.cry && children.actions.cry > 0) { %>
-
<% } %>
<% if (children.actions.pout && children.actions.pout > 0) { %>
-
<% } %>
<% if (children.actions.sleep && children.actions.sleep > 0) { %>
-
<% } %>
<% if (children.actions.mute && children.actions.mute > 0) { %>
-
<% } %>
<% if(children.actions.count == 0){ %>
-
<% } else { %>
-
<% } %>
<%= children.actions.count %>
<% if (children.actions.love && children.actions.love > 0) { %>
Me encanta: <%= children.actions.love %>
Me parto: <%= children.actions.laugh %>
Flipo: <%= children.actions.dizzy %>
Me entristece: <%= children.actions.cry %>
Me cabrea: <%= children.actions.pout %>
Qué aburrimiento: <%= children.actions.sleep %>
Sin palabras: <%= children.actions.mute %>
Me encanta: <%= children.actions.love %>
<% } %> <% if (children.actions.laugh && children.actions.laugh > 0) { %>Me parto: <%= children.actions.laugh %>
<% } %> <% if (children.actions.dizzy && children.actions.dizzy > 0) { %>Flipo: <%= children.actions.dizzy %>
<% } %> <% if (children.actions.cry && children.actions.cry > 0) { %>Me entristece: <%= children.actions.cry %>
<% } %> <% if (children.actions.pout && children.actions.pout > 0) { %>Me cabrea: <%= children.actions.pout %>
<% } %> <% if (children.actions.sleep && children.actions.sleep > 0) { %>Qué aburrimiento: <%= children.actions.sleep %>
<% } %> <% if (children.actions.mute && children.actions.mute > 0) { %>Sin palabras: <%= children.actions.mute %>
<% } %>