Hackers hebben configuratie- en inloggegevens van 15.000 FortiGate-firewalls van Fortinet op het dark web gezet. Het gaat om oudere gegevens die niet gelinkt zijn aan een recent beveiligingslek.
Het is geen goede week voor beveiligingsspecialist voor Fortinet. Amper een dag nadat het bedrijf zelf over een beveiligingslek in zijn FortiGate-firewalls rapporteert, duikt een database met gelekte gegevens van diezelfde apparaten op. Het gaat om gegevens die zijn buitgemaakt in 2022 en zijn dus niet gelinkt aan het meest recente lek.
De database bevat gegevens van maar liefst 15.000 FortiGate-apparaten. Het gaat om configuratiegegevens, maar ook IP-adressen en VPN-inloggegevens. Die combinatie kan hacxkers vrije toegang geven tot het netwerk van bedrijven.
Mexico, Mexi-iiico
De Duitse krant Heise doorspitte de gegevens en stelde vast dat het gros van getroffen apparaten uit Mexico (1.603) en de Verenigde Staten (679) komt. Maar het lek heeft ook impact op Europese bedrijven. 208 van de betrokken firewalls komt uit Duitsland. Over andere landen wordt niet gesproken.
Dat een database van deze omvang in één klap gratis wordt gedeeld, is hoogst uitzonderlijk. Hackers delen gewoonlijk slechts een ‘testsample’ van gelekte gegevens om de authenticiteit van de data te bewijzen. De groepering Belsen Group zou volgens Bleeping Computer achter het lek. Dit is een nieuwe naam in het hackerswereldje die zich met deze actie mogelijk in de kijker wil zetten.
Oude gegevens
De gegevens zijn zeer waarschijnlijk buitgemaakt in 2022 of vroeger. In oktober 2022 rolde Fortinet de patch FortiOS 7.2.2 uit voor zijn firewalls om een beveiligingslek dat destijds actief werd uitgebuit te dichten. Experten vermoeden dat die kwetsbaarheid (CVE-2022–40684) is misbruikt om de gegevens te stelen. De firewalls in de database draaiden op oudere versies van het besturingssysteem.
lees ook
Beveiligingstip: een firewall alleen volstaat niet
Dat het om oudere gegevens gaat, maakt het lek daarom niet minder schadelijk. Heise ontdekte dat tientallen IP-adressen in de database nog steeds toegankelijk zijn. In combinatie met de VPN-inloggegevens kan de database hackers nog nuttige informatie bezorgen om de toegankelijke netwerken binnen te dringen, als de inloggegevens sindsdien niet meer veranderd zijn.
De geschiedenis dreigt zich te herhalen voor Fortinet. Het bedrijf waarschuwde deze week voor een kritiek lek in FortiGate-firewalls dat actief wordt misbruikt. Kwetsbaarheden kunnen jaren later nog als een boemerang terugkeren voor beveiligingsleveranciers.