Fortinet confirmó que los análisis previos de los registros filtrados por el Grupo Belsen son configuraciones autenticas de FortiGate robadas durante una redada de día cero en 2022.
Los datos filtrados incluyen direcciones IP, configuraciones —incluidas las reglas del firewall— y contraseñas, algunas de las cuales estaban en texto sin formato, según el experto en ciberseguridad Kevin Beaumont, quien reportó por primera vez la fuga de datos de Belsen.
Beaumont también dijo que la filtración parecía contener archivos relacionados con alrededor de 15,000 dispositivos Fortinet, organizados por país de origen. El proveedor no hizo comentarios sobre la escala del incidente.
Sin embargo, afirmó que el Grupo Belsen, llamado así por el campo de concentración de Bergen-Belsen —para tener una idea del carácter de este grupo—, hizo pasar la filtración como una hazaña completamente nueva cuando, de hecho, los registros se tomaron años antes, pero recién se publicaron esta semana.
Beaumont, quien investigó más a fondo, descubrió que la mayoría de las víctimas eran pequeñas y medianas empresas, con algunas de las más grandes también, y un pequeño número de Gobiernos no identificados.
“Todos los países que tienen productos Fortinet en el ámbito de aplicación son visibles en los datos, excepto uno: Irán”, añadió.
“En Irán, no hay ningún volcado de configuración en este conjunto de datos, a pesar de que Shodan muestra casi dos mil dispositivos con interfaces de gestión o VPN SSL expuestos”.
Solo se identificó una víctima en Rusia, ubicada en Crimea, un territorio en disputa.
“Se desconoce por qué estos países no aparecen en los datos publicados”, dijo.
Sin embargo, el investigador aconsejó a los clientes que estuvieran atentos a una posible explotación, incluso si aplicaran el parche en 2022. Si los parches se aplicaron después de octubre de 2022, cuando se explotó CVE-2022–40684 como un día cero, aún podría haber una posibilidad de que se eliminaran sus configuraciones.
Riesgo menor para los clientes con buenas prácticas
La postura de Fortinet fue un poco más laxa y confirmó que la mayoría de los dispositivos afectados por la vulnerabilidad ya han sido parchados.
“Si su organización ha seguido de manera constante las mejores prácticas de rutina para actualizar regularmente las credenciales de seguridad y ha tomado las medidas recomendadas en los años anteriores, el riesgo de que la configuración actual de la organización o los detalles de las credenciales aparezcan en la divulgación del actor de la amenaza es pequeño”, dijo el jueves, según reportó The Register.
“Seguimos recomendando encarecidamente que las organizaciones tomen las medidas recomendadas, si aún no lo han hecho, para mejorar su postura de seguridad.
