### Cibercriminales Explotan FortiGate NGFW para Acceso Inicial y Robo de Credenciales

#### Introducción

En las últimas semanas, investigadores en ciberseguridad han alertado sobre una campaña activa en la que actores maliciosos están explotando dispositivos FortiGate Next-Generation Firewall (NGFW) como vector de entrada principal para comprometer redes empresariales. La campaña, detectada a través de múltiples fuentes de inteligencia y análisis forense de incidentes, pone de manifiesto la creciente tendencia de los atacantes a dirigirse contra infraestructuras perimetrales críticas, aprovechando tanto vulnerabilidades recientemente divulgadas como la debilidad en las políticas de gestión de credenciales.

#### Contexto del Incidente

Los dispositivos FortiGate, ampliamente desplegados en entornos empresariales para la gestión y protección del tráfico de red, se han convertido en objetivo preferente debido a la criticidad de su posición en la arquitectura de seguridad. La campaña detectada se basa en dos técnicas principales: explotación de vulnerabilidades de seguridad no parcheadas y abuso de credenciales débiles o por defecto. El interés de los atacantes se centra en la extracción de archivos de configuración, que suelen almacenar información sensible sobre cuentas de servicio y topología interna de la red, facilitando movimientos laterales y escalada de privilegios.

La explotación masiva de estos dispositivos ha sido observada en organizaciones de sectores regulados, como servicios financieros, administración pública y telecomunicaciones, con especial incidencia en infraestructuras críticas, donde la exposición puede derivar en consecuencias operativas y regulatorias graves.

#### Detalles Técnicos

Uno de los vectores principales de esta campaña es la explotación de vulnerabilidades documentadas en la serie CVE-2024, entre las que destaca CVE-2024-21762, una vulnerabilidad de ejecución remota de código (RCE) con una puntuación CVSS de 9,8, que permite a un atacante no autenticado ejecutar comandos arbitrarios en los dispositivos afectados. Además, se han detectado intentos de fuerza bruta y aprovechamiento de credenciales por defecto, especialmente en entornos donde las recomendaciones básicas de endurecimiento no han sido aplicadas.

Los atacantes utilizan técnicas y procedimientos catalogados en MITRE ATT&CK, como Initial Access (T1190: Exploit Public-Facing Application) y Credential Access (T1003: OS Credential Dumping). Una vez que obtienen acceso, emplean scripts automatizados para localizar y exfiltrar archivos de configuración (por ejemplo, «config.conf» o «system.conf»), los cuales incluyen hashes de contraseñas de servicios, rutas de red internas y credenciales administrativas.

En cuanto a indicadores de compromiso (IoC), se han identificado direcciones IP de origen asociadas a infraestructuras de comando y control (C2) conocidas, así como artefactos generados por frameworks de explotación como Metasploit y Cobalt Strike. La actividad maliciosa suele dejar trazas en los logs de autenticación fallida y en eventos anómalos de acceso a archivos de configuración.

#### Impacto y Riesgos

El impacto potencial es elevado: la exposición de archivos de configuración permite a los atacantes mapear la red interna y comprometer servicios críticos con privilegios elevados. Según estimaciones de firmas especializadas, hasta un 30% de los dispositivos FortiGate desplegados globalmente no cuentan con los últimos parches de seguridad, lo que incrementa el riesgo de explotación automatizada.

Las consecuencias van desde el robo de información sensible hasta la interrupción de servicios clave, pasando por la posibilidad de lanzar ataques de ransomware o campañas de espionaje prolongadas. En el contexto europeo, una brecha de este tipo puede suponer la notificación obligatoria bajo el RGPD y, en el caso de operadores de servicios esenciales, bajo el marco NIS2.

#### Medidas de Mitigación y Recomendaciones

Las recomendaciones inmediatas para los equipos de seguridad incluyen:

– **Aplicar urgentemente los parches de seguridad publicados por Fortinet**, en especial los relativos a CVE-2024-21762 y otras vulnerabilidades críticas recientes.
– **Revisar y reforzar las políticas de contraseñas**, eliminando credenciales por defecto y aplicando autenticación multifactor (MFA) donde sea posible.
– **Monitorización continua de logs y tráfico de red** en busca de patrones de acceso inusuales y exfiltración de archivos de configuración.
– **Segmentación de red y limitación de acceso administrativo** a los dispositivos NGFW, restringiendo la gestión a subredes seguras no expuestas a Internet.
– **Auditoría regular de configuraciones** y verificación de integridad de archivos críticos, empleando herramientas de detección de cambios (FIM).

#### Opinión de Expertos

Especialistas consultados subrayan la necesidad de considerar los dispositivos de seguridad perimetral como activos de alto valor («crown jewels») en cualquier estrategia defensiva. Según analistas de SANS Institute y ENISA, la tendencia a explotar firewalls y otros dispositivos de borde continuará al alza, dada la dificultad de mantenerlos actualizados y la confianza excesiva depositada en su seguridad intrínseca.

#### Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente refuerza la importancia de una gestión proactiva del ciclo de vida de los dispositivos de seguridad, así como la necesidad de planes de respuesta ante incidentes que contemplen la posibilidad de que los propios sistemas de defensa sean comprometidos. Para los usuarios finales, aunque el riesgo directo es menor, la exposición de datos puede afectar a la confidencialidad y disponibilidad de servicios esenciales.

#### Conclusiones

La explotación de vulnerabilidades en dispositivos FortiGate NGFW destaca la urgencia de adoptar una aproximación holística y actualizada a la seguridad perimetral. La combinación de fallos de configuración, falta de parcheo y credenciales débiles sigue siendo la puerta de entrada preferida para los atacantes. Solo mediante la aplicación rigurosa de buenas prácticas y una vigilancia constante se puede mitigar eficazmente este tipo de amenazas, en un contexto regulatorio y de amenaza en constante evolución.

(Fuente: feeds.feedburner.com)