• PRIMO

500,000 akun VPN Fortinet bocor!



Kelompok Ransomware yang bernama GROOVE kembali beraksi dan berhasil melakukan aksinya. Dikabarkan, mereka berhasil mendapatkan 500.000 login name & password untuk VPN Fortinet. Mereka juga mengklaim bahwa banyak diantara login name & password yang bocor tersebut masih valid. List dari credentials yang bocor tersebut dibagikan secara gratis oleh akun yang bernama "Orange" pada forum hacker "RAMP". Menurut informasi, credentials ini berhasil didapat karena eksploitasi pada celah perangkat Fortinet beberapa bulan lalu.


Dari sumber yang sama, mengatakan bahwa hal ini merupakan langkah promosi yang dilakukan oleh GROOVE (Ransomware Gang) untuk operasi Ransomware-as-a-service mereka. Diharapkan akan ada banyak threat actor diluar sana yang akan menggunakan services mereka.


Bagaimana dengan tanggapan Fortinet? Menurut Fortinet, Threat Actor yang ada dibelakang kejadian ini, memanfaatkan celah pada SSL VPN FortiGate, yaitu CVE-2018-13379. Dimana, celah tersebut merupakan celah yang sudah lama ditutup (tahun 2019) dengan patch terbaru dari Fortinet. Dan dari Fortinet sudah sering menginformasikan kepada customernya untuk menutup celah tersebut.


Dikutip dari sumber lain, pada Maret 2021, Federal Bureau of Investigation (FBI) bersamaan dengan Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan advisory untuk Cyber Security. Mereka mengamati Threat Group (APT Group) melakukan scanning dan enumerating sistem Fortinet yang dapat diakses publik melalui port 4443, 8443, dan 10443. FBI dan CISA tersebut percaya bahwa para aktor APT ini sedang mengumpulkan daftar sistem yang rentan atau memiliki celah, baik di sektor publik maupun swasta sebagai persiapan serangan yang akan datang. Beberapa celah yang dimanfaatkan oleh aktor APT tersebut adalah CVE-2018-13379, CVE-2019-5591 dan CVE-2020-12812. Dimana ketiga CVE tersebut merupakan celah yang ada pada FortiOS, yaitu sistem operasi pada perangkat Fortinet.


Bila kita lihat bersama, 2 kejadian ini saling berkaitan, yaitu kejadian bocornya credentials VPN Fortinet dan laporan dari FBI & CISA mengenai kegiatan scanning dari APT Group. Dari 2 kejadian ini, kita bisa lihat, sebenarnya perusahaan atau organisasi di dunia masih ada waktu untuk melakukan pencegahan, yaitu dengan meng-update patch FortiOS mereka ke patch terbaru. Sehingga, kebocoran login name dan password tidak akan terjadi.


Oleh karena itu, penting sekali untuk sebuah perusahaan untuk tetap up-to-date terhadap trend, berita dan informasi mengenai Cyber Security. Terutama informasi terkait perangkat atau sistem yang digunakan oleh perusahaan tersebut. Sehingga, tim terkait di perusahaan dapat melakukan immediate action ketika terjadi hal-hal yang tidak diinginkan (seperti kebocoran data).


Kembali ke kasus bocornya login name dan password pada perangkat Fortinet, PRIMACS berhasil mendapatkan list IP Address dari perangkat-perangkat yang menjadi target serangan tersebut. List ini, PRIMACS dapatkan dari solusi Cyber Threat Intelligence kami yaitu DarkTracer.


Apa itu DarkTracer? DarkTracer adalah OSINT Platform yang dapat melakukan pencarian dan monitoring untuk infromasi yang ada di dalam Deep Web maupun Dark Web. Jika ada indikasi data bocor, perusahaan dapat mencari informasi tersebut menggunakan DarkTracer. Karena kebanyakan aktor APT memposting hasil dari kejahatan mereka di Deep Web dan Dark Web.


Dengan segala keunggulan dan manfaat tersebut, DarkTracer menjadi solusi penting yang perlu diimplementasikan di perusahaan Anda. Saat ini, Anda dapat mengakses DarkTracer secara gratis, dengan banyak fitur didalamnya, seperti Credentials Leak Monitoring, Compromised Data Set dan Ransomware Monitoring. Segera hubungi sales@primacs.co.id untuk informasi lebih lanjut dan juga dapatkan harga terbaik dengan mengunjungi www.primacs.co.id.


Sources:


17 views0 comments