AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Cibercriminales automatizan el robo de configuraciones en FortiGate, incluso en dispositivos totalmente parcheados

admin

#### 1. Introducción

En las últimas semanas, se ha detectado una campaña de ciberataques altamente automatizados dirigida contra dispositivos FortiGate, incluso aquellos que cuentan con los últimos parches de seguridad aplicados. Los atacantes han conseguido extraer archivos de configuración de los firewalls, lo que eleva la preocupación sobre la existencia de vulnerabilidades desconocidas (zero-days) o la explotación de técnicas avanzadas de post-explotación. Este incidente pone en alerta al sector de la ciberseguridad y subraya la necesidad de mejorar las estrategias de defensa, especialmente en infraestructuras críticas y entornos empresariales que dependen de Fortinet.

#### 2. Contexto del Incidente

Los dispositivos FortiGate de Fortinet son ampliamente utilizados en todo el mundo como solución de firewall y gateway de seguridad perimetral. Su popularidad en entornos empresariales, organismos públicos y proveedores de servicios los ha convertido en un objetivo prioritario para grupos de amenazas persistentes avanzadas (APT) y cibercriminales. El pasado mes de junio de 2024, múltiples analistas de amenazas y equipos SOC comenzaron a reportar infecciones automáticas que afectaban a dispositivos con las últimas actualizaciones aplicadas.

El hecho de que los dispositivos FortiGate comprometidos estuvieran completamente parcheados genera inquietud respecto a la posible existencia de nuevas vulnerabilidades explotables, fallos de configuración o técnicas alternativas de ataque, como la explotación de credenciales robadas tras campañas anteriores.

#### 3. Detalles Técnicos

##### Vulnerabilidades y CVE relevantes

Pese a que no se ha identificado un nuevo CVE vinculado directamente con esta campaña, los investigadores han señalado que los ataques podrían estar relacionados con la explotación de configuraciones por defecto, credenciales comprometidas o la manipulación de servicios expuestos como SSL VPN o la interfaz de administración web. Es relevante recordar precedentes como CVE-2023-27997 (vulnerabilidad de heap overflow en el SSL VPN de FortiOS), que fue ampliamente explotada en 2023.

##### Vectores de ataque y TTP

Los atacantes han empleado scripts automatizados para escanear rangos de IP en busca de dispositivos FortiGate accesibles. Una vez identificados, los scripts intentan acceder a la interfaz de administración utilizando técnicas de fuerza bruta, explotación de credenciales predeterminadas o posibles sesiones persistentes activas. Tras la obtención de acceso, se ejecutan comandos para extraer el archivo de configuración (`config.conf` o `sys_config`), que contiene información sensible como topologías de red, reglas de firewall, credenciales cifradas y certificados.

Según el framework MITRE ATT&CK, las TTP identificadas incluyen:

– **Initial Access (T1190):** Explotación de servicios públicos (SSL VPN, administración web).
– **Credential Access (T1110):** Fuerza bruta de credenciales.
– **Collection (T1005):** Extracción de información de configuración.
– **Exfiltration (T1041):** Transferencia de archivos extraídos a servidores C2 externos.

##### Indicadores de compromiso (IoC)

– Acceso inusual a la interfaz de administración desde direcciones IP no autorizadas.
– Conexiones de salida no habituales hacia dominios o IPs asociados a C2.
– Solicitudes HTTP POST anómalas dirigidas a ficheros de configuración.
– Cambios o accesos al archivo `config.conf` fuera de ventanas de mantenimiento.

#### 4. Impacto y Riesgos

El robo de configuraciones de dispositivos FortiGate expone a las organizaciones a múltiples riesgos:

– **Revelación de la topología de red interna, reglas de acceso y credenciales cifradas**, facilitando ataques posteriores o movimientos laterales.
– **Impacto en la integridad y disponibilidad** de la infraestructura de seguridad perimetral.
– **Riesgo de cumplimiento**: El incidente puede acarrear sanciones bajo normativas como GDPR o la Directiva NIS2, que exigen la protección de datos y servicios esenciales.
– **Afectación masiva**: Se estima que miles de dispositivos en todo el mundo podrían estar expuestos, incluyendo entornos críticos de entidades financieras, sanitarias y gobiernos.

#### 5. Medidas de Mitigación y Recomendaciones

Los equipos de seguridad deben adoptar un enfoque proactivo ante este escenario:

1. **Auditoría de accesos**: Revisar logs de administración, detección de accesos no autorizados y cambios en la configuración.
2. **Segmentación de acceso**: Limitar la exposición de la interfaz de administración únicamente a redes internas o mediante VPNs.
3. **Gestión de credenciales**: Forzar el cambio inmediato de todas las credenciales administrativas y deshabilitar cuentas no utilizadas.
4. **Actualizaciones y hardening**: Verificar que todos los parches están aplicados y seguir las guías de hardening de Fortinet.
5. **Monitorización de IoC**: Implementar reglas específicas en SIEM y EDR para identificar patrones de exfiltración y accesos anómalos.
6. **Backup seguro**: Asegurar copias de seguridad cifradas y protegidas de las configuraciones.

#### 6. Opinión de Expertos

Diversos analistas de ciberseguridad coinciden en que este incidente es un claro ejemplo de la sofisticación creciente de las amenazas dirigidas a dispositivos de red. Carlos Bustos, CISO de una entidad bancaria europea, destaca: “La automatización de estos ataques y el uso de técnicas que evitan la detección tradicional subrayan la importancia de una defensa en profundidad y la necesidad de visibilidad continua sobre los activos críticos”.

Por su parte, Lena Martínez, investigadora de amenazas, señala: “Aunque no se ha confirmado la explotación de un nuevo zero-day, la campaña demuestra que la gestión de credenciales y la reducción de la superficie de ataque siguen siendo puntos clave en la seguridad de perímetro”.

#### 7. Implicaciones para Empresas y Usuarios

Las empresas deben considerar este incidente como una llamada de atención para revisar sus políticas de seguridad perimetral. La extracción de configuraciones puede facilitar ataques dirigidos, phishing interno o secuestro de sesiones VPN. Además, la filtración de datos de red puede facilitar el cumplimiento de objetivos por parte de grupos de ransomware o actores estatales. Para los usuarios finales, el principal riesgo reside en la potencial pérdida de confidencialidad y la interrupción de servicios críticos.

#### 8. Conclusiones

La automatización de ataques contra firewalls FortiGate, incluso en dispositivos parcheados, evidencia que la seguridad no depende únicamente de las actualizaciones, sino de una estrategia integral de defensa. La monitorización continua, la gestión rigurosa de credenciales y la segmentación de accesos son vitales para mitigar riesgos en un entorno de amenazas cada vez más sofisticadas.

(Fuente: www.darkreading.com)