AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Qilin suma su ransomware a los ataques que explotan vulnerabilidades críticas en Fortinet

admin

Introducción

En las últimas semanas, la operación Qilin, uno de los grupos de ransomware más activos, ha comenzado a explotar dos vulnerabilidades críticas en dispositivos Fortinet, sumándose así a la oleada de ciberataques dirigidos a infraestructuras corporativas. Estas vulnerabilidades permiten la evasión de mecanismos de autenticación y la ejecución remota de código malicioso, comprometiendo la seguridad de miles de organizaciones a escala global. El uso de estas fallas por parte de Qilin marca una evolución en sus tácticas, alineándose con la tendencia creciente de los grupos de ransomware de aprovechar vulnerabilidades de día cero y exploits públicos para acceder a redes corporativas.

Contexto del Incidente

Fortinet es uno de los principales proveedores de soluciones de seguridad perimetral, con productos ampliamente desplegados en entornos empresariales, incluyendo firewalls, VPNs y appliances de gestión de seguridad. En junio de 2024, Fortinet notificó la existencia de dos vulnerabilidades críticas: CVE-2024-21762 y CVE-2024-23113, ambas relacionadas con la posibilidad de eludir la autenticación y ejecutar código arbitrario en dispositivos FortiOS y FortiProxy.

Pocos días después de la publicación de los parches, se observaron múltiples ataques dirigidos a organizaciones que no habían actualizado sus dispositivos. La incorporación del grupo Qilin a estas campañas amplifica la amenaza, dada su capacidad para desplegar ransomware de forma automatizada y su historial de extorsión a grandes empresas, incluyendo ataques recientes que han generado pérdidas millonarias.

Detalles Técnicos

Las vulnerabilidades explotadas presentan características especialmente peligrosas:

– **CVE-2024-21762**: Se trata de una vulnerabilidad de tipo «authentication bypass» en la interfaz web de administración de FortiOS. Permite a un atacante remoto no autenticado obtener acceso privilegiado al sistema, pudiendo manipular configuraciones y cargar archivos maliciosos.
– **CVE-2024-23113**: Esta falla permite la ejecución remota de código (RCE) a través de la manipulación de peticiones HTTP especialmente diseñadas, afectando tanto a FortiOS como a FortiProxy.

Ambas vulnerabilidades han sido integradas en frameworks de explotación pública como Metasploit y han sido observadas en campañas automatizadas de escaneo y explotación masiva. Según el MITRE ATT&CK, estos ataques se alinean con las técnicas T1190 (Exploit Public-Facing Application) y T1078.001 (Valid Accounts: Default Accounts), facilitando el movimiento lateral una vez comprometido el perímetro.

Los indicadores de compromiso (IoC) detectados incluyen conexiones inusuales a los puertos de administración de Fortinet (por defecto 443 y 10443), creación de cuentas administrativas sin autorización y despliegue de cargas útiles cifradas que corresponden al ransomware Qilin.

Impacto y Riesgos

Las estimaciones actuales sugieren que más de 20.000 dispositivos Fortinet expuestos a Internet permanecen vulnerables, de los cuales al menos el 15% han sido objeto de intentos de explotación según datos de Shodan y GreyNoise. El potencial de daño es significativo: una vez que el atacante obtiene acceso, puede desactivar controles de seguridad, desplegar ransomware y exfiltrar información sensible, incumpliendo normativas como la GDPR y la NIS2. Se han reportado incidentes con pérdidas económicas superiores a los 2 millones de euros en rescates y daños colaterales, incluyendo la interrupción de servicios críticos y la filtración de datos confidenciales.

Medidas de Mitigación y Recomendaciones

Fortinet ha publicado actualizaciones críticas para todas las versiones afectadas, incluyendo FortiOS 7.0.12, 7.2.6 y FortiProxy 7.0.11. Se recomienda aplicar los parches de inmediato y, en caso de no ser posible, restringir el acceso a las interfaces de administración desde redes internas y deshabilitar el acceso desde Internet.

Otras recomendaciones incluyen:

– Monitorizar logs de autenticación y actividad administrativa para detectar accesos no autorizados.
– Implementar autenticación multifactor (MFA) en todos los accesos privilegiados.
– Revisar reglas de firewall para limitar el acceso a los puertos de administración.
– Utilizar soluciones EDR/XDR para identificar y contener movimientos laterales y cargas maliciosas.
– Realizar auditorías de configuración y gestionar de forma proactiva los activos expuestos.

Opinión de Expertos

Especialistas como Fernando Lázaro, analista senior de amenazas en S21sec, advierten: “La combinación de una vulnerabilidad de día cero con la automatización del despliegue de ransomware representa la tormenta perfecta. La ventana de oportunidad entre la publicación del parche y la explotación es cada vez más corta, lo que exige políticas de gestión de vulnerabilidades mucho más ágiles y proactivas”.

Por su parte, fuentes del INCIBE recuerdan que “la exposición de interfaces de administración a Internet sigue siendo uno de los errores más comunes y peligrosos en la gestión de sistemas críticos”.

Implicaciones para Empresas y Usuarios

Las empresas deben prestar especial atención al ciclo de vida de los parches y adoptar estrategias Zero Trust para minimizar los riesgos asociados a la explotación de dispositivos perimetrales. La rápida adopción de exploits por parte de actores como Qilin subraya la necesidad de contar con una monitorización continua, segmentación de redes y formación específica para los equipos técnicos.

Para los usuarios y clientes de servicios, la exposición de datos personales y corporativos puede derivar en sanciones regulatorias y pérdida de confianza, especialmente en sectores críticos como finanzas, sanidad y administración pública.

Conclusiones

La explotación de vulnerabilidades en Fortinet por parte del ransomware Qilin es un claro recordatorio de la sofisticación y rapidez con la que evolucionan las amenazas. La gestión proactiva de vulnerabilidades, la segmentación de redes y la reducción de la superficie de ataque son medidas imprescindibles para mitigar el impacto de estos incidentes. La colaboración entre fabricantes, CERTs y equipos de respuesta es clave para afrontar una amenaza que no deja de crecer.

(Fuente: www.bleepingcomputer.com)