De configuratiebestanden, IP-adressen en vpn-inloggegevens van ruim 15.000 FortiGate-apparaten zijn op het darkweb gelekt. De data werd gelekt door de Belsen Group, een nieuwe hackersgroep en wordt gratis weggegeven.

Het gaat om gebruikersnamen, wachtwoorden – waarvan een deel in plaintext beschikbaar is – digitale certificaten voor apparaatbeheer en alle firewallregels. De gestolen data komt van apparaten uit 145 verschillende landen. Het merendeel, van 1603 configuraties, komt uit Mexico. Verder zijn gegevens van 679 Amerikaanse FortiGate-apparaten gestolen en 208 uit Duitsland. Of en hoeveel Nederlandse en Belgische apparaten getroffen zijn, is onbekend.

Heise en beveiligingsonderzoeker Kevin Beaumont analyseerden de data en stellen dat gegevens in oktober 2022 zijn verzameld. Waarschijnlijk gebeurde dat door misbruik van de kwetsbaarheid CVE-2022-40684, die destijds werd ontdekt en door FortiGate-maker Fortinet werd gedicht. Het lek zat in de FortiOS-firmware van 7.0.0 tot en met 7.0.6 en van 7.2.0 tot en met 7.2.2.

Beaumont benadrukt dat het datalek wel om actie vraagt. "Zelfs als je de patch in 2022 hebt geïnstalleerd, bestaat de mogelijkheid dat je systeem toch gecompromitteerd is, aangezien de configuraties jaren geleden zijn gelekt en nu pas zijn vrijgegeven. Het is waarschijnlijk verstandig om uit te zoeken wanneer je deze kwetsbaarheid precies hebt gepatcht.

Fortinet waarschuwde deze week ook voor een actief misbruikte zeroday in zijn FortiGate-firewalls. Deze lijkt echter niet gerelateerd aan het datalek van de Belsen Group, maar een losstaand probleem te zijn.

Alles bij de bron; Tweakers