Il 16 gennaio 2025, il Gruppo Belsen ha pubblicato un dump di 1,6 GB contenente credenziali VPN, configurazioni e dati sensibili di 15.000 dispositivi FortiGate sul dark web. Questa notizia ha scatenato un’ondata di preoccupazioni per la sicurezza informatica, poiché i dati raccolti possono essere utilizzati da malintenzionati per accedere facilmente a queste informazioni sensibili[1].
Il Gruppo Belsen e la Pubblicazione dei Dati
Il Gruppo Belsen è stato avvistato recentemente sui social network e nei forum di hacking. Per motivi di autopromozione, il gruppo ha creato un sito sulla darknet, dove ha pubblicato il dump gratuito con le informazioni dei dispositivi FortiGate. In un comunicato, il gruppo ha annunciato la loro prima operazione ufficiale, affermando di aver pubblicato dati sensibili di oltre 15.000 obiettivi in tutto il mondo, sia governativi che privati, che sono stati hackerati e i cui dati sono stati estratti[1].
Contenuto del Dump
Il dump di 1,6 GB include cartelle ordinate per paese. All’interno di ciascuna di queste sono presenti sottocartelle contenenti dati per ciascun indirizzo IP FortiGate. Secondo l’esperto di sicurezza Kevin Beaumont, ogni cartella con un indirizzo IP contiene un file Configuration.conf (un dump della configurazione di FortiGate) e un file vpn-passwords.txt, in cui alcune password sono scritte in chiaro. I file di configurazione contengono anche dati sensibili, comprese chiavi private e regole del firewall[1].
Vulnerabilità Zero-Day e Impatto
Beaumont ritiene che questa fuga di notizie sia legata alla vulnerabilità zero-day CVE-2022-40684, che è stata attivamente sfruttata dagli aggressori anche prima del rilascio delle patch. I dati raccolti risalgono all’ottobre 2022, quando la vulnerabilità è stata attivamente esposta agli attacchi. Il motivo per cui il dump è divenuto pubblico solo ora, più di due anni dopo questi eventi, non è chiaro[1].
Rischi e Conseguenze
Sebbene la fuga di notizie risalga al 2022, Beaumont avverte che i dati trapelati potrebbero ancora contenere informazioni critiche, comprese regole e credenziali del firewall. L’esperto ha affermato che intende pubblicare un elenco degli indirizzi IP interessati in modo che gli amministratori di FortiGate possano verificare se i loro dispositivi sono presenti in questo elenco[1].
Suggerimenti e Consigli per la Sicurezza
Per proteggere i dispositivi FortiGate e prevenire attacchi simili, è fondamentale adottare alcune misure di sicurezza:
- Aggiorna il Firmware: Assicurarsi che il firmware sia aggiornato all’ultima versione disponibile, scaricabile dal sito ufficiale di Fortinet. Questo può aiutare a risolvere le vulnerabilità note e ridurre il rischio di attacchi[3].
- Chiudi le Interfacce di Gestione: Limitare l’accesso alle interfacce di gestione ai soli indirizzi IP autorizzati. Questo può prevenire gli attacchi da parte di aggressori esterni[3].
- Monitora i Log di Sistema: Verificare regolarmente i log di sistema per individuare tentativi di accesso sospetti o modifiche non autorizzate. Questo può aiutare a rilevare eventuali intrusioni tempestivamente[3].
- Implementa Segmentazione di Rete e Controlli di Accesso: Utilizzare tecniche di segmentazione di rete e controlli di accesso per minimizzare i danni in caso di compromissione. Questo può aiutare a isolare i dispositivi compromessi e prevenire la propagazione dell’attacco[3].
- Utilizza Sistemi di Rilevamento delle Intrusioni: Adottare sistemi di rilevamento delle intrusioni per monitorare eventuali attività anomale. Questo può aiutare a identificare e rispondere rapidamente a potenziali minacce[3].
- Verifica Periodica: Eseguire verifiche periodiche per assicurarsi che i dispositivi siano configurati correttamente e che non ci siano vulnerabilità note. Questo può aiutare a prevenire attacchi e a garantire la sicurezza dei dati[3].
La pubblicazione dei dati sensibili di 15.000 dispositivi FortiGate dal Gruppo Belsen rappresenta una minaccia significativa per la sicurezza informatica. È essenziale che gli amministratori di FortiGate adottino immediate misure di sicurezza per proteggere i loro dispositivi e prevenire attacchi simili. Seguendo i suggerimenti e i consigli forniti, è possibile ridurre significativamente il rischio di compromissione e garantire la sicurezza delle infrastrutture aziendali.
