O hacker Fortinet VPN vaza 500.000 senhas de usuários
As redes privadas virtuais ou VPNs têm sido usadas há muito tempo para ocultar a localização real e as atividades de uma pessoa na Internet, seja para fins de segurança ou para contornar bloqueios de região. É um dos arsenais padrão em segurança de rede, mas uma VPN não é uma solução à prova de balas, especialmente se a própria VPN é aquela que é hackeada. Esse é o cenário de pesadelo em que os usuários do popular produto Fortinet VPN agora se encontram depois que um hacker acabou de despejar 500.000 nomes de usuário e senhas na Internet de graça.
As VPNs são executadas naturalmente em servidores remotos e, como qualquer serviço de computador, podem ser alvos de agentes maliciosos. Em abril passado, servidores que executam o FortiOS da Fortinet foram relatados como sendo atacados por atores patrocinados pelo estado. Parece que a mesma vulnerabilidade foi explorada por pelo menos um hacker que agora simplesmente vazou a carga útil para qualquer outro hacker usar.
Esse ator de ameaça foi identificado como “Orange”, o líder de um novo fórum de hacking RAMP e uma nova operação de ransomware Groove. Segundo consta, a Orange rompeu com uma gangue de ransomware Babuk mais velha para estabelecer a RAMP e a Groove. Talvez para promover a nova operação e recrutar outros hackers, a Orange simplesmente vazou quase 500.000 senhas para se exibir.
Essas 500.000 credenciais incluem logins e nomes de usuário do Fortinet VPN retirados de dispositivos vulneráveis nos últimos meses. Embora a vulnerabilidade explorada já tenha sido corrigida agora, as credenciais ainda estão em uso ativo. O BleepingComputer confirmou que os endereços IP estão vinculados a servidores Fortinet VPN, enquanto uma fonte verificou que algumas das senhas vazadas ainda são válidas.
Esse vazamento, é claro, coloca a segurança e integridade dos servidores Fortinet VPN em risco, considerando que eles podem ser usados por hackers para roubar dados ou instalar ransomware em outros computadores. Infelizmente, o único recurso que pode ser tomado neste ponto é os proprietários do servidor forçarem a redefinição das senhas de todos os usuários para fechar os buracos que o vazamento abriu.