## Dispositivos FortiGate bajo asedio: ataques automatizados crean cuentas falsas y exfiltran configuraciones
### Introducción
En las últimas semanas, los dispositivos FortiGate de Fortinet, ampliamente desplegados en entornos corporativos y críticos, han sido el blanco de una sofisticada campaña de ataques automatizados. Diversos equipos de respuesta a incidentes han detectado intentos sistemáticos de creación de cuentas administrador no autorizadas y la exfiltración de archivos de configuración sensibles de los firewalls afectados, elevando la alerta entre CISOs, analistas SOC y administradores de sistemas responsables de la seguridad perimetral.
### Contexto del Incidente
La alerta fue emitida por Arctic Wolf, empresa de ciberseguridad especializada en monitorización y detección de amenazas, tras identificar patrones anómalos en clientes que operan dispositivos FortiGate expuestos a Internet. Según el informe, los atacantes han aprovechado vulnerabilidades conocidas y, en algunos casos, credenciales comprometidas para establecer persistencia mediante la creación de cuentas administrativas fraudulentas, incrementando el riesgo de movimientos laterales y escalada de privilegios en la red.
Este vector de ataque se suma al historial reciente de incidentes que afectan a la plataforma FortiOS, incluyendo la explotación masiva de vulnerabilidades como CVE-2023-27997 (vulnerabilidad de ejecución remota de código en SSL VPN) y CVE-2022-40684 (autenticación inapropiada en la interfaz administrativa), ambas con severidad crítica.
### Detalles Técnicos
Los ataques detectados emplean automatización avanzada para identificar dispositivos FortiGate expuestos (en versiones FortiOS 6.x y 7.x, especialmente aquellas sin los últimos parches de seguridad). Los adversarios utilizan técnicas de fuerza bruta sobre credenciales predeterminadas o filtradas en brechas previas. Una vez autenticados, ejecutan comandos para crear cuentas administrativas con nombres genéricos o que simulan pertenecer al personal de TI legítimo.
Se ha documentado el uso de scripts automatizados (Python, PowerShell) y herramientas de frameworks como Metasploit para interactuar con la API web de gestión de FortiGate, aprovechando endpoints vulnerables. Los TTPs (Tactics, Techniques and Procedures) observados se alinean con las siguientes técnicas MITRE ATT&CK:
– **T1078.004 – Valid Accounts: Cloud Accounts**
– **T1136 – Create Account**
– **T1005 – Data from Local System**
– **T1041 – Exfiltration Over C2 Channel**
Los indicadores de compromiso (IoC) compartidos incluyen logs de autenticación desde direcciones IP inusuales, creación de usuarios fuera de horario, y actividad anómala en la exportación del archivo `config.conf` o `FortiGate.conf`, que contiene las reglas de firewall, usuarios y contraseñas (encriptadas o, en versiones antiguas, en texto claro).
### Impacto y Riesgos
La exfiltración de la configuración de firewall expone la arquitectura de red, reglas de acceso, credenciales de VPN y, potencialmente, información crítica sobre la segmentación y protección de activos. Un adversario con acceso a este archivo puede planificar ataques dirigidos, eludir controles perimetrales y comprometer la continuidad del negocio.
Según estimaciones de Arctic Wolf, hasta un 7% de los dispositivos FortiGate expuestos en Internet podrían estar en riesgo si no se aplican los parches más recientes. El coste de un incidente de este tipo puede superar los 250.000 euros considerando interrupciones, investigación forense, y posibles sanciones bajo el RGPD (Reglamento General de Protección de Datos) o NIS2, en caso de afección a servicios esenciales.
### Medidas de Mitigación y Recomendaciones
Fortinet y organismos como el CERT-EU recomiendan aplicar urgentemente las siguientes medidas:
– **Actualizar a la última versión de FortiOS** (6.4.13, 7.0.12, 7.2.5 o superior).
– **Deshabilitar el acceso administrativo desde direcciones IP externas** y restringirlo mediante VPN o listas blancas.
– **Auditar usuarios administrativos** y eliminar cuentas sospechosas o no reconocidas.
– **Monitorizar logs de autenticación y cambios de configuración** para detectar actividad anómala.
– **Cambiar todas las credenciales administrativas** tras una posible exposición.
– **Realizar pruebas de pentesting** periódicas en la superficie de ataque perimetral.
### Opinión de Expertos
Especialistas en ciberseguridad como Raúl Siles (ElevenPaths) advierten que la automatización de ataques sobre dispositivos perimetrales es una tendencia al alza, facilitada por la publicación de exploits en repositorios públicos y la existencia de marketplaces de credenciales filtradas. “El firewall ya no es un elemento estático, sino un objetivo prioritario para el acceso inicial y la persistencia en la red”, recalca.
Desde el CSIRT-CV, se recuerda que la correcta segmentación y el principio de mínimo privilegio son fundamentales, pero que “la gestión y auditoría activa de dispositivos de seguridad sigue siendo el eslabón más débil en muchas organizaciones”.
### Implicaciones para Empresas y Usuarios
Este incidente pone de manifiesto la necesidad de una gestión proactiva de la superficie de exposición. Las empresas deben considerar la seguridad de los dispositivos perimetrales como parte integral de su estrategia de Zero Trust y no confiar en la configuración por defecto ni en la seguridad implícita del proveedor.
Para sectores regulados (financiero, sanidad, infraestructuras críticas), el incumplimiento de requisitos de ciberseguridad puede acarrear sanciones severas bajo la NIS2 o el GDPR, además de un impacto reputacional difícilmente recuperable.
### Conclusiones
La campaña de ataques automatizados contra dispositivos FortiGate representa una amenaza real y actual para la seguridad perimetral de las organizaciones europeas. La detección temprana, el parcheo diligente y la monitorización continua son esenciales para prevenir la exfiltración de información crítica y el acceso no autorizado. La colaboración entre fabricantes, CERTs y equipos internos de ciberseguridad será clave para mitigar riesgos en un contexto de amenazas en constante evolución.
(Fuente: www.bleepingcomputer.com)