แฮ็กเกอร์หน้าใหม่ ใจดีแจกฟรี FortiGate VPN Credential ของ 15,000 อุปกรณ์

Belsen Group กลุ่มแฮ็กเกอร์ที่เพิ่งปรากฏชื่อขึ้นในสื่อต่างๆ กำลังเรียกร้องความสนใจด้วยการแจกฟรีไฟล์ข้อมูลของ FortiGate ราว 15,000 อุปกรณ์ใน Dark Web ที่ภายในประกอบด้วย IP Address, VPN Credential พร้อมไฟล์คอนฟิคโดยคาดว่ามาจากข้อมูลที่ถูกขโมยไปในปี 2022 จาก Zero-day

ไฟล์ข้อมูลราว 1.6 GB ได้ถูกเรียงลำดับตามประเทศ โดยแต่ละโฟลเดอร์จะมีโฟลเดอร์ย่อยที่มีเลขหมายไอพี พร้อมไฟล์ .conf และ VPN Credentials ใน .txt บางรายมีถึง Plain text ให้แต่อย่างน้อยที่สุดการรู้ config ก็ส่งผลถึงการรู้ Private key หรือการตั้งค่า Firewall ได้

จากการวิเคราะห์ตรวจสอบของผู้เชี่ยวชาญคาดว่าน่าจะมาจาก Zero-day CVE-2022-40684 ในช่วงเวลานั้น ซึ่ง ณ ขณะนั้นพบว่ามีกลุ่มคนร้ายใช้ช่องโหว่เพื่อลอบดาวน์โหลดไฟล์ config และเพิ่มบัญชี super_admin ทำทีว่าเป็น Tech Support โดยคาดว่ากลุ่มเหยื่อจะมาจาก FortiOS เวอร์ชัน 7.0.0-7.0.6 หรือ 7.2.0-7.2.2 แต่ที่น่าแปลกคือ 7.2.2 ได้รับการประกาศว่าแก้ไขช่องโหว่ดังกล่าวแต่ยังติดมาในรายชื่อได้อย่างไร

ทั้งนี้แม้จะเป็นเรื่องที่ผ่านมาเนิ่นนานหลายปีแต่ใครที่ยังไม่เคยเปลี่ยน Credentials มาก่อนก็ควรเร่งดำเนินการเสียก่อนเพราะข้อมูลนี้แจกฟรี!

ที่มา : https://www.bleepingcomputer.com/news/security/hackers-leak-configs-and-vpn-credentials-for-15-000-fortigate-devices/