Belsen Group lækker følsomme data fra tusindvis af FortiGate devices

Konfigurationsfiler, IP adresser og VPN brugernavne og passwords som er stjålet fra flere end 15.000 Fortigate devices er blevet frigivet på Darkweb og kan downloades direkte af andre hackergrupper eller it-kriminelle.

De mange følsomme data er tilgængelige via en dedikeret TOR side.

Belsen gruppen indleder deres post med følgende tekst:

FortiGate 15K Targets (Configs+VPN Passwords)
At the beginning of the year, and as a positive start for us, and in order to solidify the name of our group in your memory, we are proud to announce our first official operation: Will be published of sensitive data from over 15,000 targets worldwide (both governmental and private sectors) that have been hacked and their data extracted.
The data includes:
1.IPs
2.Passwords
3.Configs

To make it easier for you, we have categorized the targets by country names".

Det lækkede data er pakket i et zip-arkiv med filnavnet "FORTIGATE.ZIP" og indeholder 1.6GB data der er sorteret på IP adresser og land. Der er tre devices som er fysisk placeret her i Danmark, og som sandsynligvis er blevet kompromitteret via en ældre RCE i Fortinet, som ikke er blevet korrekt patchet.

Vigtig ny opdatering fra Fortinet; 0-dags sårbarhed misbruges aktivt
Denne lækage kommer samtidig med at Fortinet i går er ude med en advarsel som en kritisk sårbarhed som omfatter FortiOS og FortiProxy.

Denne sårbarhed opnår en CVSS score på 9.6 og er knyttet til CVE-ID: CVE-2024-55591. Den er urelateret til dette læk. Alle Fortigate kunder bør opgradere deres udstyr til seneste release. Info her: https://fortiguard.fortinet.com/psirt/FG-IR-24-535

Sårbarheden kan kun misbruges via webinterfacet. Man bør ikke eksponere webinterfaces til sikkerhedsappliances, eller andet udstyr, mod Internettet (WAN).