Fortinet se ha percatado que un actor malintencionado recientemente reveló información de acceso SSL-VPN en 87,000 dispositivos FortiGate. Estas credenciales se obtuvieron de sistemas que permanecían sin parchear contra  FG-IR-18-384  /  CVE-2018-13379 . Aunque posteriormente hayan sido parcheados, si las contraseñas no se restablecieron, siguen siendo vulnerables.

Este incidente está relacionado con una antigua vulnerabilidad resuelta en mayo de 2019. En ese momento, Fortinet emitió un  aviso de PSIRT  y publicó en sus blogs corporativos los detalles del problema, alentando encarecidamente a los clientes a actualizar los dispositivos afectados:

«Fortinet reitera que si su organización mantenía alguna de las versiones afectadas, después de actualizar dichos dispositivos, también se debe realizar el restablecimiento de contraseñas, esto de acuerdo con el boletín de atención al  cliente. De lo contrario, continuarán siendo vulnerables.

Fortinet recomienda tomar inmediatamente los siguientes pasos para asegurarse de que no se abuse de sus credenciales:

  1. Desactive todas las VPN (SSL-VPN o IPSEC) hasta que se hayan realizado los siguientes pasos para la corrección.
  2. Actualice inmediatamente los dispositivos afectados a la última versión disponible.
  3. Trate todas las credenciales como potencialmente comprometidas al realizar un restablecimiento de contraseña en toda la organización.
  4. Implemente la autenticación multifactor, que ayudará a mitigar el abuso de cualquier credencial comprometida, tanto ahora como en el futuro.
  5. Notifique a los usuarios para que expliquen el motivo del restablecimiento de la contraseña y supervise servicios como  HIBP  para su dominio. Si las contraseñas se han reutilizado para otras cuentas, existe la posibilidad de que se puedan utilizar en ataques de relleno de credenciales .

Actualización recomendada:

Actualice a FortiOS 5.4.13, 5.6.14, 6.0.11 o 6.2.8 y superior.