A Fortinet publicou em seu blog de incidentes hospedado no site oficial um alerta informando que os recentes dados descobertos em um fórum na Dark Web foram coletados de uma exploração de zero day encontrada e corrigida em novembro de 2022. Deste modo, os dados não seriam recentes nem estariam relacionados a nenhum novo incidente.
Diversos portais de Segurança da Informação apontaram recentemente sobre um post feito por um grupo cibercriminoso criado neste mês. Esse agente hostil supostamente expôs de forma gratuita cerca de 1,6 GB de arquivos com dados colhidos das ferramentas FortiGate. Os arquivos estavam categorizados por nomes de cada país exposto e incluíam IPs, senhas e configurações internas da ferramenta em diversos clientes pelo mundo.
Entretanto, a companhia esclareceu que as informações obtidas pelo grupo de cibercrime não foram originados de um novo incidente cibernético contra a Fortinet, tal qual a postagem dos hackers fez parecer. Análises movidas nos dispositivos em questão indica que a maioria já está atualizada para novas versões desde que se corrigiu a brecha, em dezembro de 2022.
“Se a sua organização tiver aderido consistentemente às práticas recomendadas de rotina para atualizar regularmente as credenciais de segurança e tiver tomado as medidas recomendadas nos anos anteriores, o risco de a configuração atual da organização ou os detalhes da credencial serem divulgados pelo agente de ameaças é pequeno”, acrescenta o comunicado.
Apesar desses apontamentos, a Fortinet recomenda que, em casos de empresas que ainda estejam executando uma versão afetada antes de novembro de 2022, que as medidas de gestão de vulnerabilidades sejam reaplicadas imediatamente. “Embora esses dados tenham vários anos e os endereços IP tenham deixado de ser relevantes em muitos casos, entraremos em contato com todos os clientes, quando identificados, para recomendar a revisão das configurações”, conclui a mensagem.
A Fortinet foi atingida por um outro incidente de data leak ainda em setembro do ano passado, quando a própria empresa confirmou que um conjunto limitado de informações internas da corporação foi alvo de um acesso não autorizado de um indivíduo desconhecido. De acordo com a nota, embora o ambiente acessado também inclua dados limitados relacionados a menos de 0,3% de clientes da Fortinet, não havia indicação de que o incidente tenha resultado em atividades maliciosas contra eles.
A Security Report publica, na íntegra, posicionamento publicado pela Fortinet:
“A Fortinet está ciente de uma postagem de um agente de ameaças que alega oferecer configuração comprometida e credenciais de VPN de dispositivos FortiGate. Com base em nossa análise, os dados envolvidos são um compartilhamento de dados de incidentes anteriores de datas anteriores a novembro de 2022 e não estão relacionados a nenhum incidente ou aviso recente. A seguir, fornecemos informações factuais para ajudar nossos clientes a entender melhor a situação e tomar decisões informadas.
A Fortinet descobriu a postagem em um fórum por meio do serviço FortiRecon Dark Web Activity Monitoring. Esse grupo, criado recentemente em janeiro de 2025, publicou arquivos que supostamente contêm dados roubados do FortiGate, categorizados por nomes de países, incluindo IPs, senhas e configurações. Com base em nossa análise, a alegação do agente da ameaça é enganosa.
Os dados roubados são organizados em pastas com o endereço IP e uma porta no firewall, no formato 10.20.30.41_xxx, em que xxx é mais comumente 443 ou 10443, o que sugere que essa é a porta SSL-VPN.
As pastas contêm dois arquivos:
config.conf – O backup da configuração do FortiGate
vpn-password.txt – Arquivo de senha que contém as credenciais do SSL-VPN
Após analisar as versões de firmware nas configurações expostas, ficou imediatamente claro que os dados expostos se originam de uma vulnerabilidade mais antiga, pois a lista não inclui nenhuma configuração para o FortiOS 7.6 ou 7.4, nem nenhuma configuração recente para 7.2 e 7.0.
Outro indicador foi a presença de dois outros IoCs comumente encontrados em uma vulnerabilidade publicada mais antiga.
Configuração obtida pelo usuário Local_Process_Access
Administrador mal-intencionado: fortigate-tech-support
Considerando esses dois pontos, é altamente provável que esses dados tenham sido obtidos por meio da vulnerabilidade FG-IR-22-377 / CVE-2022-40684 comunicada e resolvida anteriormente. Além do aviso publicado, também publicamos mais percepções e detalhes em uma postagem de blog de outubro de 2022 intitulada “Update Regarding CVE-2022-40684”.
Os dados que corroboram as descobertas incluem que as configurações compartilhadas pelo agente da ameaça são da 7.2.1 e da 7.0.6 (que foram as últimas versões vulneráveis, conforme observado em nosso comunicado de 2022).
vpn-password.txt
Semelhante às configurações, os dados em password .txt imediatamente pareceram familiares, pois eram semelhantes em conteúdo e correspondiam aos dados divulgados em uma vulnerabilidade FG-IR-18-384 / CVE-2018-13379 resolvida anteriormente.
postagem de dados do ator da ameaça no blog do psirt fig2
A diferença é que os nomes de arquivos e os cabeçalhos dos arquivos eram diferentes. Encontramos um arquivo Python que explica isso, pois foi usado para alterar os nomes dos arquivos e inserir o apelido do Threat Actor em todos os arquivos de senha.
Nome do arquivo: 1.py
Nome do arquivo: 1.py
Isso foi amplamente comunicado na época no PSIRT Advisory publicado em um blog de 2019 e em um blog subsequente em 2020.
Conclusão:
O agente de ameaças vazou dados obtidos em campanhas antigas que foram agregados para parecer uma nova divulgação. Nossa análise dos dispositivos em questão mostra que a maioria deles já foi atualizada para versões mais recentes há muito tempo.
Se a sua organização aderiu consistentemente às práticas recomendadas de rotina para atualizar regularmente as credenciais de segurança e tomou as medidas recomendadas nos anos anteriores, o risco de que a configuração atual da organização ou os detalhes da credencial sejam incluídos na divulgação do agente de ameaças é pequeno. Continuamos a recomendar enfaticamente que as organizações tomem as medidas recomendadas, caso ainda não o tenham feito, para melhorar sua postura de segurança.
Também podemos confirmar que os dispositivos adquiridos desde dezembro de 2022 ou os dispositivos que executaram apenas o FortiOS 7.2.2 ou superior não são afetados pelas informações divulgadas por esse agente de ameaças.
Se você estava executando uma versão afetada (7.0.6 e inferior ou 7.2.1 e inferior) antes de novembro de 2022 e ainda não tomou as medidas recomendadas no comunicado, recomendamos enfaticamente que revise as medidas recomendadas para melhorar sua postura de segurança.
Embora esses dados tenham vários anos e os endereços IP tenham deixado de ser relevantes em muitos casos, entraremos em contato com todos os clientes, quando identificados, para recomendar a revisão das configurações.
Para nossos clientes, seu risco de ser afetado pelas informações divulgadas é baixo se: Seu dispositivo foi comprado em dezembro de 2022 ou depois; Sua organização aderiu consistentemente às práticas recomendadas de rotina ao atualizar regularmente as credenciais de segurança e tomou as ações recomendadas nos avisos anteriores do Fortinet PSIRT.
A Fortinet recomenda que os clientes: Atualizem para a versão mais recente do patch para o seu trem de lançamento; Valide a configuração do FortiGate para garantir que nenhuma alteração não autorizada tenha sido implementada por um terceiro mal-intencionado; Procure o documento de IoCs conhecidos nos Incidentes referenciados (FG-IR-22-377 / FG-IR-18-384); Siga as recomendações de práticas recomendadas para a configuração.”
