Un nuovo gruppo di hacker, denominato Belsen Group, ha pubblicato gratuitamente sul dark web file di configurazione, indirizzi IP e credenziali VPN relativi a oltre 15.000 dispositivi FortiGate. Questi dati sensibili, ora accessibili ad altri cybercriminali, rappresentano una grave minaccia per la sicurezza delle reti colpite.

Il Belsen Group è apparso recentemente su social media e forum di cybercrimine, promuovendo le proprie attività attraverso un sito Tor. Come prima operazione ufficiale, il gruppo ha distribuito un archivio di 1,6 GB organizzato per Paese e contenente file relativi agli indirizzi IP dei dispositivi FortiGate. I dati includono file di configurazione, chiavi private, regole firewall e password VPN, alcune in testo semplice.

Secondo l’esperto di cybersicurezza Kevin Beaumont, questa fuga è collegata a una vulnerabilità zero-day identificata come CVE-2022–40684, sfruttata prima della pubblicazione della patch correttiva. Nel 2022, Fortinet aveva avvertito che gli attori di minacce stavano utilizzando questa vulnerabilità per scaricare file di configurazione e aggiungere account amministratori malevoli sui dispositivi compromessi.

https://www.heise.de/news/Darknet-Konfigurationen-und-VPN-Passwoerter-von-Fortinet-Geraeten-aufgetaucht-10244015.html

L’analisi del sito di notizie tedesco Heise conferma che i dati trapelati risalgono al 2022 e provengono da dispositivi con firmware FortiOS versioni 7.0.0-7.0.6 o 7.2.0-7.2.2, principalmente la 7.2.0. Tuttavia, la vulnerabilità CVE-2022–40684 era stata corretta con la versione 7.2.2 e ciò solleva dubbi su come i dispositivi aggiornati possano essere stati compromessi.

Nonostante i dati siano stati raccolti oltre due anni fa, la violazione resta pericolosa. Le informazioni pubblicate includono credenziali e regole firewall che, se non modificate tempestivamente, potrebbero facilitare nuovi attacchi. Beaumont raccomanda agli amministratori di FortiGate di aggiornare immediatamente le credenziali e rafforzare le misure di sicurezza. Inoltre, ha annunciato che renderà disponibile un elenco degli indirizzi IP coinvolti per aiutare le organizzazioni a identificare eventuali compromissioni.

Non è la prima volta che Fortinet è coinvolta in fughe di dati. Già nel 2021 infatti, un attore di minacce aveva divulgato quasi 500.000 credenziali VPN sfruttando una vulnerabilità più vecchia (CVE-2018-13379). Fortinet non ha ancora commentato ufficialmente, ma la gravità della situazione sottolinea l’importanza di monitorare e aggiornare costantemente i dispositivi per prevenire violazioni future.