### Cibercriminales emplean la herramienta open-source CyberStrikeAI para vulnerar cientos de firewalls Fortinet FortiGate
#### Introducción
El panorama de amenazas evoluciona rápidamente gracias a la adopción de inteligencia artificial (IA) y herramientas open-source por parte de actores maliciosos. Recientemente, investigadores han detectado el uso de una nueva plataforma de testing de seguridad basada en IA, denominada CyberStrikeAI, en una campaña dirigida contra infraestructuras críticas protegidas por dispositivos Fortinet FortiGate. Este incidente pone de manifiesto la creciente sofisticación de los adversarios y la necesidad de que los equipos de ciberseguridad revisen sus estrategias defensivas ante amenazas automatizadas y avanzadas.
#### Contexto del Incidente
El incidente fue descubierto tras una serie de accesos no autorizados a cientos de firewalls FortiGate a nivel global. Los atacantes, según los investigadores, utilizaron CyberStrikeAI para automatizar la identificación y explotación de vulnerabilidades en estos dispositivos. Cabe recordar que Fortinet es uno de los principales fabricantes de soluciones de seguridad perimetral, y sus productos son ampliamente implantados en sectores críticos (finanzas, energía, administraciones públicas, etc.).
La campaña, que comenzó a finales del primer trimestre de 2024, se caracteriza por su escala y automatización: se estima que al menos 400 instancias de FortiGate han sido comprometidas en menos de dos semanas, afectando principalmente a organizaciones europeas y norteamericanas. El actor responsable, vinculado previamente a campañas avanzadas de intrusión, ha demostrado capacidad para explotar rápidamente vulnerabilidades de día cero y credenciales expuestas.
#### Detalles Técnicos
**CyberStrikeAI** es una plataforma open-source recientemente publicada en repositorios públicos, orientada inicialmente al pentesting automatizado mediante IA. Sin embargo, sus capacidades han sido adaptadas por actores maliciosos para tareas ofensivas. La herramienta integra módulos de fingerprinting, fuzzing y explotación, y se apoya en frameworks como Metasploit y Cobalt Strike para ejecutar payloads personalizados. Además, implementa técnicas de evasión de EDR y detección de honeypots, lo que complica la identificación temprana del ataque.
En los incidentes analizados, los atacantes explotaron la vulnerabilidad CVE-2023-27997 (también conocida como «XORtigate»), un fallo de desbordamiento de búfer en el SSL-VPN de FortiGate que permite la ejecución remota de código sin autenticación. Las TTP observadas se alinean con las técnicas MITRE ATT&CK siguientes:
– **Initial Access:** Exploit Public-Facing Application (T1190)
– **Execution:** Command and Scripting Interpreter (T1059)
– **Persistence:** Valid Accounts (T1078)
– **Defense Evasion:** Obfuscated Files or Information (T1027), Indicator Removal on Host (T1070)
Entre los principales indicadores de compromiso (IoC) identificados se encuentran direcciones IP asociadas a proxies anónimos, hashes de payloads generados por Cobalt Strike y cadenas de user-agent inusuales en logs de acceso al portal SSL-VPN.
#### Impacto y Riesgos
El impacto de la campaña es significativo. Más del 65% de las compañías afectadas reportaron movimientos laterales hacia redes internas, y se han detectado intentos de exfiltración de datos sensibles. Desde una perspectiva económica, las brechas han generado costes directos superiores a 5 millones de euros en respuesta y contención, sin contar el daño reputacional y posibles sanciones regulatorias (GDPR, NIS2). La explotación remota de firewalls plantea riesgos críticos: desde la interrupción de servicios esenciales hasta la exposición de credenciales y secretos corporativos.
#### Medidas de Mitigación y Recomendaciones
Fortinet ha publicado parches de seguridad para la vulnerabilidad CVE-2023-27997 desde junio de 2023. Se recomienda a los administradores de sistemas verificar la versión de firmware de FortiOS en todos los dispositivos y aplicar las actualizaciones urgentes en caso de estar afectados (versiones inferiores a 6.4.12, 7.0.10 y 7.2.4).
Otras recomendaciones técnicas incluyen:
– **Desactivar el acceso SSL-VPN** desde Internet si no es estrictamente necesario.
– **Implementar autenticación multifactor (MFA)** en todos los accesos remotos.
– **Monitorizar logs** de acceso y comandos ejecutados en el firewall para detectar actividad anómala.
– **Bloquear IoCs** conocidos en perímetro y SIEM.
– **Realizar análisis forense** post-mortem en dispositivos comprometidos para identificar persistencia o puertas traseras.
#### Opinión de Expertos
Varios analistas de amenazas advierten que la aparición de herramientas open-source potenciadas por IA, como CyberStrikeAI, marca un punto de inflexión en el desarrollo de ciberataques. Carlos Redondo, CISO de una entidad financiera española, señala: “La automatización y la IA permiten a los atacantes escalar campañas con una velocidad sin precedentes. Las defensas tradicionales, basadas en firmas, se quedan cortas frente a la adaptación dinámica que estas herramientas ofrecen”.
Por su parte, investigadores de la comunidad Blue Team consideran imprescindible reforzar las capacidades de detección basadas en comportamiento y respuesta automatizada en los SOC, integrando feeds de inteligencia actualizados y adoptando enfoques proactivos de threat hunting.
#### Implicaciones para Empresas y Usuarios
La campaña subraya la necesidad de una revisión urgente de las políticas de ciberseguridad, especialmente en organizaciones que dependen de dispositivos perimetrales expuestos a Internet. Bajo el marco de la NIS2 y el GDPR, la falta de actualización oportuna puede derivar en sanciones significativas. Además, la proliferación de herramientas ofensivas open-source obliga a redoblar esfuerzos en formación y concienciación de equipos internos, así como en la colaboración público-privada para compartir inteligencia sobre amenazas emergentes.
#### Conclusiones
El uso de CyberStrikeAI por parte de actores avanzados demuestra que la frontera entre herramientas de pentesting legítimas y ciberarmas se difumina peligrosamente en la era de la inteligencia artificial. La automatización y el acceso abierto a tecnologías sofisticadas aumentan la superficie y velocidad de ataque, exigiendo a los profesionales de ciberseguridad una adaptación constante y una vigilancia proactiva.
(Fuente: www.bleepingcomputer.com)