Un nuevo grupo de actores malicioso, llamado Grupo Belsen, filtró en la dark web información sensible de más de 15 000 dispositivos FortiGate, incluyendo archivos de configuración, direcciones IP y credenciales VPN.
Esta filtración, de 1.6 GB, está organizada por países y expone detalles como contraseñas (algunas en texto plano), claves privadas y reglas de cortafuegos. El grupo, que apareció este mes, utilizó esta fuga como su primera operación oficial para promocionarse, liberando los datos en un popular sitio web de Tor.
Según el investigador Kevin Beaumont, los datos filtrados están vinculados a la explotación del 0-day CVE-2022-40684, CVSSv3 9.8, documentada en ataques de 2022 antes de que se publicara una solución. Beaumont verificó que las contraseñas y configuraciones coinciden con dispositivos comprometidos, y señaló que los datos se recopilaron en octubre de 2022.
La mayoría de los dispositivos afectados ejecutaban firmware FortiOS entre las versiones 7.0.0 y 7.2.2, aunque esta última corrigió el fallo. Sin embargo, no se explica cómo fueron vulnerados dispositivos con versiones parcheadas. Pese al tiempo transcurrido, la filtración sigue exponiendo información crítica sobre las defensas de las redes afectadas.