AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Hackers explotan vulnerabilidades críticas en productos Fortinet para comprometer cuentas administrativas

admin

Introducción

En las últimas semanas, diversos actores de amenazas han comenzado a explotar activamente varias vulnerabilidades críticas presentes en soluciones de Fortinet, afectando principalmente a dispositivos FortiOS y FortiProxy. Esta campaña maliciosa ha permitido a los atacantes obtener acceso no autorizado a cuentas administrativas y exfiltrar archivos de configuración del sistema, lo que supone un serio riesgo para la integridad y confidencialidad de las infraestructuras corporativas. Dada la alta penetración de los productos Fortinet en sectores críticos y la relevancia de estos sistemas en la seguridad perimetral, el incidente exige un análisis en profundidad desde la perspectiva de la ciberseguridad profesional.

Contexto del Incidente

El incidente tiene su raíz en la explotación de vulnerabilidades identificadas recientemente y catalogadas bajo los CVE-2024-21762 y CVE-2024-23113, ambas con una calificación de severidad crítica (CVSS v3.1: 9.8). Estos fallos afectan a versiones ampliamente desplegadas de FortiOS (de la 7.0.0 a la 7.2.4) y FortiProxy (de la 7.0.0 a la 7.2.3), según los boletines publicados por Fortinet y diversos organismos de ciberseguridad. La explotación exitosa permite a los atacantes tomar control completo de los dispositivos afectados y acceder a información privilegiada, incluyendo credenciales de administración y configuraciones sensibles.

Detalles Técnicos: CVEs, TTPs e Indicadores de Compromiso

Los dos CVE mencionados se corresponden principalmente con fallos de tipo Path Traversal y bypass de autenticación:

– **CVE-2024-21762:** Vulnerabilidad de tipo path traversal en la interfaz web de FortiOS y FortiProxy. Permite a un atacante remoto sin autenticación descargar archivos arbitrarios, incluidos los archivos de configuración completos (`config.conf`), que contienen información sensible como hashes de contraseñas, claves de VPN e información de políticas.
– **CVE-2024-23113:** Permite eludir mecanismos de autenticación en la interfaz de administración, otorgando acceso directo a funciones de gestión.

Los adversarios han empleado TTPs alineadas con las matrices de MITRE ATT&CK, destacando las siguientes técnicas:
– **Initial Access:** Exploitation for Public-Facing Application (T1190)
– **Credential Access:** Unsecured Credentials (T1552), Credential Dumping (T1003)
– **Collection:** Data from Configuration Repository (T1602)
– **Exfiltration:** Exfiltration Over Web Service (T1567)

Entre los IoC (Indicadores de Compromiso) identificados, se han observado patrones inusuales en los logs de acceso, peticiones HTTP/HTTPS sospechosas y la ejecución de comandos no autorizados desde direcciones IP asociadas históricamente a actores de amenazas avanzados (APT).

Asimismo, se ha detectado la utilización de frameworks de explotación como Metasploit para automatizar el proceso y la inserción de payloads personalizados para establecer backdoors persistentes en los sistemas comprometidos.

Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades expone a las organizaciones a múltiples riesgos:
– **Acceso total al sistema:** Los atacantes pueden modificar configuraciones, crear cuentas administrativas y desactivar funciones de seguridad.
– **Robo de información sensible:** Las configuraciones exfiltradas suelen contener credenciales, claves criptográficas y reglas de cortafuegos.
– **Movimiento lateral:** Si el dispositivo Fortinet está integrado con otros sistemas (Active Directory, SIEM), los atacantes pueden pivotar y comprometer infraestructuras internas.
– **Interrupción de servicios:** En casos extremos, los atacantes pueden inutilizar dispositivos, provocando la caída de servicios críticos.
– **Impacto en cumplimiento:** Incumplimientos de GDPR, NIS2 y otras normativas, con posibles sanciones económicas que pueden superar los 20 millones de euros en función de la gravedad y el sector afectado.

Medidas de Mitigación y Recomendaciones

Fortinet ha publicado parches de emergencia y recomienda actualizar inmediatamente a las versiones 7.0.13 y 7.2.6 de FortiOS, así como 7.0.10 y 7.2.5 de FortiProxy. Además, se aconseja:
– **Auditar los accesos recientes** y revisar logs en busca de patrones anómalos, especialmente descargas masivas de archivos de configuración.
– **Cambiar todas las credenciales administrativas** y claves de VPN tras la actualización.
– **Implementar segmentación de red** para limitar el acceso a la interfaz de administración exclusivamente a redes internas y restringidas.
– **Desplegar reglas IDS/IPS** actualizadas para detectar intentos de explotación de los CVE mencionados.
– **Aplicar doble factor de autenticación** en todos los accesos administrativos.
– **Monitorizar IoCs públicos** y feeds de amenazas de organismos como el CCN-CERT y ENISA.

Opinión de Expertos

Varios analistas de ciberseguridad como Marcus Hutchins y profesionales de SOC de grandes consultoras coinciden en que estos incidentes ponen de manifiesto la necesidad de reforzar la seguridad de los dispositivos de red perimetral, tradicionalmente considerados “cajas negras” dentro de muchas organizaciones. “La configuración por defecto y la falta de segmentación siguen siendo los principales vectores de riesgo en entornos con dispositivos Fortinet”, señala un experto de S21sec. Además, se recomienda la adopción de modelos Zero Trust y la revisión periódica de políticas de acceso.

Implicaciones para Empresas y Usuarios

Para las empresas, el incidente supone un recordatorio de la importancia de gestionar el ciclo de vida de los parches y la monitorización proactiva de dispositivos críticos. Los sectores más afectados incluyen banca, sanidad, telecomunicaciones e infraestructuras críticas, donde estos dispositivos son el núcleo de la defensa perimetral. A nivel de usuario, si bien el impacto directo es limitado, una brecha en Fortinet puede traducirse en filtraciones de datos personales y afectación a la continuidad del negocio.

Conclusiones

La explotación masiva de estas vulnerabilidades en productos Fortinet demuestra que los dispositivos de red no pueden considerarse inmunes a las amenazas avanzadas. La actualización inmediata, la monitorización constante y la adopción de buenas prácticas de segmentación y autenticación son imprescindibles para minimizar riesgos. En un contexto regulatorio cada vez más exigente y con el aumento de los ataques a la cadena de suministro, la gestión adecuada de estos incidentes será clave para garantizar la resiliencia de las infraestructuras empresariales.

(Fuente: www.bleepingcomputer.com)