Oi, alguém notou este post no x? https://x.com/BelsenGroup/status/1879217666067730671
Supostamente, 15.000 configurações e senhas de VPN foram roubadas de FortiGates
https://github.com/arsolutioner/fortigate-belsen-leak Aqui está, pessoal
Não tenho acesso aos dados, meus colegas ainda estão baixando, mas um portal de notícias de TI alemão escreveu que todos os dados são do FortiOS 7.0.0-7.0.6 ou 7.2.0-7.2.2. Os dados podem ter sido roubados em 2022.
Você consegue traduzir o artigo com o Google Tradutor Darknet: Konfigurationen und VPN-Passwörter von Fortinet-Geräten aufgetaucht | heise online
parece que o vazamento foi de dados de 2022.
Configurações exportadas sempre eram de “Local_Process_Access”, que se refere ao seguinte artigo:
https://www.fortiguard.com/psirt/FG-IR-22-377
Arquivos de configuração às vezes têm um firmware bem antigo:
#config-version=FGT60E-7.2.0-FW-build1157-220331:opmode=0:vdom=0:user=Local_Process_Access
#config-version=FG1HEF-7.0.6-FW-build0366-220606:opmode=0:vdom=0:user=Local_Process_Access
Kevin Beaumont pretende divulgar uma lista dos IPs afetados.
Parece que uma lista de e-mails foi divulgada e eu também consegui finalmente baixar o arquivo, ironicamente.
https://www.swisstransfer.com/d/a0696ee7-a4b7-46ad-bb2a-f3b682d75f81
se alguém já baixou, pode compartilhar por favor?
Resposta oficial da FTNT agora. https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-data-posting
Atualizei a lista vazada com informações de AS e GeoIP aqui:
Ela detalha por país:
cut -d',' -f6 master.txt | sort | uniq -c | sort -rn | head -25
1081 AE
816 MX
723 TH
710 MY
677 US
670 BR
550 AU
530 CO
498 DO
440 NL
429 SA
407 FR
396 PL
391 ES
347 IL
330 IT
279 EG
278 AR
252 AT
243 IN
240 BE
237 SG
226 GB
205 DE
198 CA
Pelo que eu entendo, o hash da senha VPN não é válido em outro dispositivo, correto?
Nós usamos a versão 7.0 e nunca tivemos ou temos acesso público ao Admin, mas li que a sanitização das configurações é uma coisa inútil, pois o hash no firewall não pode ser usado em outro dispositivo e/ou não pode ser revertido para exibir as chaves VPN.
Alguém quer abrir aquele link tor e ver o que tem lá?
Espero que a Forti esteja baixando os dados e se preparando para contatar os clientes afetados.
Alguém terminou o download?
Alguém já listou os IPs.
Os IPs afetados estão disponíveis aqui:
Espero que quem tiver o arquivo possa compartilhá-lo aqui. Estou na marca de 20% e parece que está fora do ar novamente.
Alguém pode compartilhar o zip?
alguém baixou o arquivo? Obrigado!
Alguém baixou o arquivo?
alguém baixou o zip, por favor compartilhe por pm.
Tentei baixar algumas vezes sem sucesso, porém, consegui extrair o conteúdo incompleto do zip e escrevi um parser em python bruta. Isso deve ajudar a entender alguns desses dados de uma forma que ajude as pessoas a descobrirem se foram afetadas mais rapidamente. - Este script tem a capacidade de procurar por palavras-chave em todas as configurações e credenciais do dump. Se alguém puder melhorá-lo, por favor!