- Los investigadores han descubierto un actor de amenazas chino robando credenciales de inicio de sesión de Fortinet VPN
- Los robos se llevan a cabo gracias a una vulnerabilidad de seguridad descubierta en 2023
- El error aún no se ha solucionado, ni siquiera se le ha asignado un CVE
Investigadores de ciberseguridad revelaron que hace meses se actualizó el sistema Windows de Fortinet vpn El cliente era vulnerable a una falla que permitía a los actores de amenazas robar las credenciales de los usuarios y, según se informa, los piratas informáticos chinos ahora están comenzando a explotar la falla y robar datos.
Los expertos de Volexity publicaron un informe detallado sobre una pieza de malware Se llama DeepData. Este malware fue utilizado por un actor de amenazas chino conocido como BrazenBamboo para robar credenciales de inicio de sesión e información del servidor VPN de las VPN de Fortinet.
Como explican los expertos, después de que un usuario inicia sesión en una VPN, las credenciales del usuario permanecen en la memoria del proceso. DeepData puede encontrar y descifrar objetos JSON en la memoria de proceso del cliente, robando información de manera efectiva. Como paso final, DeepData puede llevar la información a un servidor bajo el control de los atacantes.
Taburetes de bambú
Volexity descubrió la vulnerabilidad a principios de julio de 2024 y la informó a Fortinet. La compañía reconoció el problema el 24 de julio, sin embargo, no tomó ninguna medida basada en los hallazgos y la vulnerabilidad sigue sin resolverse. Ni siquiera se le ha asignado un número CVE y no hay indicios de cuándo, si es que alguna vez, podría estar disponible una solución.
Los resultados son alarmantes dado que las VPN de Fortinet son utilizadas por muchas organizaciones de todos los tamaños, en todo el mundo. Al obtener credenciales de inicio de sesión, los ciberdelincuentes pueden obtener acceso a las redes de la empresa, lo que les permite moverse lateralmente, robar más información y tal vez incluso publicar. ransomware.
Hasta que haya un parche disponible, Volexity recomienda a los usuarios restringir el acceso a la VPN y mantener los ojos bien abiertos ante cualquier actividad de inicio de sesión inusual.
BrazenBamboo parece ser una amenaza patrocinada por el Estado, lo que significa que está en la nómina de China. Los investigadores creen que el grupo desarrolló tres familias de malware conocidas: Lightspy, DeepData y DeepPost. A diferencia de los grupos norcoreanos, que no tienen reparos en difundir ransomware u otro malware destructivo, los grupos chinos están interesados principalmente en el ciberespionaje y, como tales, suelen hacer todo lo posible para permanecer ocultos el mayor tiempo posible.
a través de pitidocomputadora