Neste fim de semana um hacker postou na internet uma série de exploits simples para extrair credenciais de acesso de quase 50 mil VPNs usando tecnologia da Fortinet que ainda estavam vulneráveis a uma falha reportada em 2018, conhecida como CVE-2018-13379.

A falha permite acesso a um arquivo chamado sslvpn_websession, que contém dados relacionados à sessão em execução, mas também pode conter nomes de usuário e senhas, expostos em texto puro.

Não demorou muito e outro hacker fez o serviço, acessando as VPNs, roubando os arquivos e compilando uma lista com os nomes de usuário, senhas, nível de acesso e IP de usuários conectados a todas estas 50 mil VPNs.

A exposição de nomes de usuário e senhas é preocupante, já que significa que mesmo que a falha seja corrigida hackers ainda poderão ter acesso a estas VPNs caso as senhas não sejam modificadas.

Reprodução

VPNs são usadas por empresas para estabelecer conexões seguras entre filiais e usuários remotos e seus servidores. Imagem: Pixabay

Vulneráveis por negligência

O pior é que a falha foi corrigida há tempo, e a Fortninet avisou seus consumidores múltiplas vezes. Ou seja, as redes afetadas só estão expostas por negligência de seus administradores, que não aplicaram uma correção para o sistema operacional FortiOS.

Um porta-voz da empresa disse ao site BleepingComputer que: “a segurança de nossos consumidores é nossa prioridade. Em maio de 2019 a Fortinet emitiu um alerta sobre uma vulnerabilidade de SSL que havia sido resolvida, e também comunicou ela diretamente aos consumidores e através de posts no blog da empresa em agosto de 2019 e julho de 2020, recomendando fortemente uma atualização”.

“Continuamos a pedir que os consumidores implementem a atualização e passos para mitigação do problema. Para mais informações, por favor visitem nosso blog e consultem o Alerta PSIRT de maio de 2019”, diz a empresa.

Por precaução, ela recomenda que usuários de suas VPNs devem imediatamente mudar suas senhas, tanto nos dispositivos conectados às redes quanto em quaisquer outros serviços onde sejam usadas.

Fonte: Bleeping Computer