Hackers hebben configuratie- en inloggegevens van 15.000 FortiGate-firewalls van Fortinet op het dark web gezet. Het gaat om oudere gegevens die niet gelinkt zijn aan een recent beveiligingslek.
Het is nog geen goede jaar geweest voor beveiligingsspecialist voor Fortinet. Terwijl het bedrijf kampt met een beveiligingslek in zijn FortiGate-firewalls, is een week geleden een database met gelekte gegevens van diezelfde apparaten opgedoken. Fortinet bevestigt het lek, maar benadrukt dat het gaat om gegevens uit 2022 of ouder die niet gelinkt zijn aan het meest recente incident.
De database bevat gegevens van maar liefst 15.000 FortiGate-apparaten. Het gaat om configuratiegegevens, maar ook IP-adressen, domeinnamen en VPN-inloggegevens. Die combinatie kan hackers vrije toegang geven tot het netwerk van bedrijven.
Mexico, Mexi-iiico
De Duitse krant Heise doorspitte de gegevens en stelde vast dat het gros van getroffen apparaten uit Mexico (1.603) en de Verenigde Staten (679) komt. Maar het lek heeft ook impact op Europese bedrijven. 208 van de betrokken firewalls komt uit Duitsland. Over andere landen wordt niet gesproken.
Dat een database van deze omvang in één klap gratis wordt gedeeld, is hoogst uitzonderlijk. Hackers delen gewoonlijk slechts een ‘testsample’ van gelekte gegevens om de authenticiteit van de data te bewijzen. De groepering Belsen Group zou volgens Bleeping Computer achter het lek. Dit is een nieuwe naam in het hackerswereldje die zich met deze actie mogelijk in de kijker wil zetten.
Oude gegevens
De gegevens zijn zeer waarschijnlijk buitgemaakt in 2022 of vroeger. In oktober 2022 rolde Fortinet de patch FortiOS 7.2.2 uit voor zijn firewalls om een beveiligingslek dat destijds actief werd uitgebuit te dichten. Experten vermoeden dat die kwetsbaarheid (CVE-2022–40684) is misbruikt om de gegevens te stelen. De firewalls in de database draaiden op oudere versies van het besturingssysteem.
lees ook
Beveiligingstip: een firewall alleen volstaat niet
Dat het om oudere gegevens gaat, maakt het lek daarom niet minder schadelijk. Heise ontdekte dat tientallen IP-adressen in de database nog steeds toegankelijk zijn. In combinatie met de VPN-inloggegevens kan de database hackers nog nuttige informatie bezorgen om de toegankelijke netwerken binnen te dringen, als de inloggegevens sindsdien niet meer veranderd zijn.
Beveiligingsonderzoekers hebben via GitHub een lijst met domeinen gedeeld die kunnen worden teruggevonden in het gelekte bestand. Dat doen ze om de betrokkenen te waarschuwen zodat zij actie kunnen ondernemen. De lijst omvat lang niet alle slachtoffers, maar enkel beheerders die een emailparameter hadden ingeschakeld.
De geschiedenis dreigt zich te herhalen voor Fortinet. Het bedrijf worstelt met een kritiek lek in FortiGate-firewalls dat actief wordt misbruikt. Kwetsbaarheden kunnen jaren later nog als een boemerang terugkeren voor beveiligingsleveranciers.
Dit artikel verscheen origineel op 16 januari en kreeg een update met de recentste informatie.