TL:DR
Después de 3 semanas de que se publicaron las más de 49 mil IPs vulnerables al CVE-2018-13379, decidimos mirar cuántas de éstas siguen en ese estado y sacar algunas estadísticas.
De esa publicación inicial 436 de esas IPs son chilenas, y aún se mantienen 207 en estado vulnerable.
Contactamos al CSIRT de gobierno para enviarles el listado completo y que nos ayuden en la gestión, pero en general, a todos los que tengan VPN SSL de Fortinet se les recomienda hacer una revisión urgente a través de las distintas herramientas dispuestas para ello:
- Script NMAP de revisión: https://github.com/purplesecmx/nmapscripts/blob/master/CVE-2018-13379.nse
- Script Python de revisión/explotación: https://github.com/milo2012/CVE-2018-13379
- Sitio creado por Cristian Borguello para revisar IPs: https://www.segu-info.com.ar/ip/fortinet
El inicio de todo
Todo comienza con una presentación en la conferencia Blackhat (https://www.youtube.com/watch?v=mKGq8z17Kd4) y un artículo de Orange Tsai y Meh Chang en agosto del año pasado.
Luego de que el mes anterior habían publicado un RCE para Palo Alto GlobalProtect, ahora ambos liberaron un exploit para la VPN SSL de Fortinet, el cual te permite leer cualquier archivo del sistema, incluyendo configuraciones internas de la VPN y credenciales de acceso (CVE-2018-13379).
Además de eso en el mismo artículo mostraban varias otras vulnerabilidades del mismo sistema, que en conjunto les permitía tomar el control total del equipo ejecutando una shell reversa a través de un “heap overflow” (CVE-2018-13383).
Esto causó un gran revuelo a nivel internacional, porque esos meses estuvieron muy intensos en la cantidad de parches que había que distribuir en los sistemas perimetrales de varias marcas. Pero al parecer fue solamente revuelo para unos pocos, porque muchos sencillamente aplicaron la teoría de “¿Por qué me va a pasar esto a mí?” y no parcharon su sistema.
¡Alerta! Liberan IPs vulnerables
Avanzamos unos meses y a mediados de noviembre de este año vuelve la vulnerabilidad a la palestra por una publicación en un conocido foro clandestino (RaidForums) en la cual liberaron un listado de 49.577 IPs vulnerables, y no solo con la IP sino que también con la URL completa vulnerable (https://www.bleepingcomputer.com/news/security/hacker-posts-exploits-for-over-49-000-vulnerable-fortinet-vpns/).
Y lo interesante de esto es la cantidad de IPs que aún se mantienen vulnerables después de más de un año de liberado el parche y el artículo con la explicación, porque recordemos que esto comienza en agosto del 2019, 15 meses antes de que se filtren estos datos.
Con esto salieron varios artículos nuevos y noticias llamando a parchar los sistemas vulnerables desde el mismo 19 en adelante:
- https://twitter.com/Bank_Security/status/1329426020647243778
- https://www.bleepingcomputer.com/news/security/hacker-posts-exploits-for-over-49-000-vulnerable-fortinet-vpns/
- https://blog.segu-info.com.ar/2020/11/publican-casi-50000-fortinet.html
- https://securityaffairs.co/wordpress/111309/hacking/leak-vulnerable-fortinet-vpns.html
- https://www.seguridadyfirewall.cl/2020/11/hacker-divulga-informacion-de-multiples.html
Revisión de FINSIN
Como ya han pasado algunas semanas nos propusimos revisar qué es lo que había pasado con el total de IPs filtradas y potencialmente vulnerables, pero más que nada nos queremos enfocar en las chilenas. Entre el 12 y el 14 de diciembre realizamos una revisión de la lista y tuvimos importantes resultados.
Inicialmente quisimos tener una vista global de cuántos son los servicios de Fortinet VPN que existen en el mundo, y no pudimos tener un número exacto ni tampoco cercano a la realidad, pero según este artículo de SAM Seamless Network (https://securingsam.com/breaching-the-fort/) son por lo menos 200.000.
Ellos “sólo” buscaron los sistemas que tienen configuraciones por defecto y obtuvieron esos 200 mil, por lo que el número real tiene que ser mucho mayor, de hecho una búsqueda simple en Shodan de los certificados que son emitidos por la organización “Fortinet” (configuración por defecto) nos da otro número: 827.190.
Entonces la verdad no sabemos cuál es el universo de sistemas (si es que alguien sabe cómo aproximar mejor el número se agradece), pero si son los 800k tenemos que el 5.99% de los equipos fueron divulgados como vulnerables (no deja de ser un número interesante).
Si vamos a Chile, usando ese mismo criterio, tenemos que hay 6.202 equipos con el certificado de “Fortinet”.
Y si hacemos los filtros necesarios en los datos expuestos en el foro, tenemos que hay 436 IPs chilenas en la lista, con lo que nos da un porcentaje parecido: 7.03%.
Creo que estamos en la pista correcta, podríamos decir que como es solo 1 punto porcentual sobre la media mundial no estamos tan mal.
| Mundo | % | Chile | % | |
| Total | 827.190 | 100% | 6.202 | 100% |
| “Limpios” | 777.613 | 94.01% | 5.766 | 92.97% |
| Divulgados | 49.577 | 5.99% | 436 | 7.03% |
Es interesante pensar que la lista de equipos vulnerables divulgada en el foro cubra un porcentaje tan alto (casi 6%) de los equipos desplegados a nivel mundial. Y aunque el número global es muy “aproximado”, no deja de ser significativo el porcentaje de clientes afectados.
Pero … ¿Siguen siendo vulnerables?
Los datos que veíamos anteriormente sólo hablan del análisis de las IPs divulgadas el 19 de Noviembre, y aunque los datos son interesantes, nos quedan más preguntas, la primera de ellas: ¿Siguen siendo vulnerables?
Al revisar los datos recopilados tenemos que en el mundo se han parchado muchos de los sistemas divulgados, pero aún quedan muchos que son vulnerables. Según nuestra revisión, el total de sistemas aún vulnerables a nivel mundial es de 11.274, lo que equivale a un 22.74% del listado.
¡Un número aún muy grande! Pero habla de que hay muchos equipos a nivel mundial (77.26%) que responden “rápido” cuando divulgan vulnerabilidades de su empresa.
¿Cómo estamos en Chile?
La verdad no estamos “tan bien”, porque del total nacional tenemos que 207 IPs (un 47.48%) siguen vulnerables después de la “notificación” de hace 3 semanas.
Esto habla de que seguimos siendo (como país) bastante lentos en generar actualizaciones de sistemas, aún cuando se hayan divulgado en internet abiertamente y sean directamente accesibles por “cualquiera”.
| Mundo | % | Chile | % | |
| Total | 49.577 | 100% | 436 | 100% |
| Parchados | 38.303 | 77.26% | 239 | 52.52% |
| Vulnerables | 11.274 | 22.74% | 207 | 47.48% |
Con este listado contactamos al CSIRT de gobierno (https://www.csirt.gob.cl/) para hacer el reporte, pero aún estamos a la espera de que nos contesten para poder avanzar con esta gestión.
¿Cómo puedo saber si soy vulnerable?
Como se menciona en un inicio existen distintas formas de ver si es que estuviste/estás en esta condición.
Si quieres saber si es que tu IP apareció en el listado puedes revisar los archivos de texto que se compartieron:
- Parte 1: https://intelx.io/?did=84aae474-ca18-45eb-b964-734feb1e5e57
- Parte 2: https://intelx.io/?did=94cbef8b-c83a-4367-b465-eb3521e74eb4
O sencillamente revisar en el sitio creado por Cristian Borguello para revisar las IPs:
https://www.segu-info.com.ar/ip/fortinet
Si quieres revisar si es que tu sistema es de verdad vulnerable aún, existen herramientas que se pueden descargar para esta revisión:
- Script NMAP de revisión: https://github.com/purplesecmx/nmapscripts/blob/master/CVE-2018-13379.nse
- Script Python de revisión/explotación: https://github.com/milo2012/CVE-2018-13379
O sencillamente colocar la URL descrita en los archivos de la filtración y revisar el resultado obtenido.
Conclusiones
Si pensamos en las etapas de la divulgación de una vulnerabilidad y su parche, se entiende que existan tiempos en los que sencillamente “no se puede parchar” o se necesite “coordinar múltiples equipos” para poder parchar un sistema. Aún así me resulta bastante irresponsable que luego de 15 meses sigan sistemas perimetrales sensibles (como el de VPN SSL) con una vulnerabilidad de este estilo; pero lo peor es que luego de que se liberara esta lista “exhaustiva” de los sistemas que están vulnerables, muchas empresas opten por seguir sin parchar.
En Chile estamos más atrás del promedio mundial en este sentido (con 47.48% vulnerable aún), puede que sea porque muchas PyMES no tienen los conocimientos para realizar estos trabajos y dependen mucho de un servicio de terceros para ello, o también puede ser por una mentalidad de “a mí no me va a pasar nada”, lo cual es igual de peligroso.
Si vemos el análisis de Coveware en su reporte trimestral de Ransomware (https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report) tenemos que el primer foco de entrada siguen siendo sistemas RDP expuestos, pero el tercer foco son vulnerabilidades como ésta, de otros sistemas expuestos, tenemos que estar preocupados por nuestros sistemas perimetrales.
Si vemos los últimos ataques de Ransomware en Chile, tenemos que empezar a pensar en el peor de los casos, nosotros sí podemos ser los siguientes y hay que tomar cartas en el asunto.
El lado positivo es que para solucionar este problema basta una actualización, en un solo sistema, ésta debe ser prioridad para todos los afectados.
Muchas gracias por leer hasta acá.
FINSIN 
Agregar un comentario