### Cibercriminales siguen explotando vulnerabilidad crítica en FortiOS para eludir el 2FA en cortafuegos FortiGate
#### Introducción
El fabricante de soluciones de seguridad Fortinet ha emitido una alerta dirigida a sus clientes y al ecosistema de ciberseguridad sobre la persistente explotación activa de una vulnerabilidad crítica en FortiOS. Esta brecha permite a los atacantes evadir los mecanismos de autenticación en dos factores (2FA) en cortafuegos FortiGate no parcheados, comprometiendo así la seguridad perimetral de numerosas organizaciones. El incidente pone de manifiesto tanto la sofisticación de los actores de amenazas como la importancia de mantener una política de actualización proactiva en infraestructuras críticas.
#### Contexto del Incidente o Vulnerabilidad
El fallo de seguridad, identificado como CVE-2022-40684, afecta a versiones específicas del sistema operativo FortiOS, presente en los populares dispositivos FortiGate, ampliamente desplegados en entornos corporativos de todo el mundo. Desde la publicación inicial de la vulnerabilidad en octubre de 2022, Fortinet y diferentes organismos de ciberseguridad han detectado múltiples campañas de explotación activa, algunas atribuidas a grupos de amenazas persistentes avanzadas (APT) y otras a actores criminales organizados.
A pesar de los parches y los avisos reiterados por parte del fabricante, la superficie de ataque sigue siendo considerable debido a la lentitud en la aplicación de actualizaciones, la falta de visibilidad sobre los dispositivos expuestos y la presencia de configuraciones heredadas en infraestructuras críticas.
#### Detalles Técnicos
**Identificador CVE:** CVE-2022-40684
**Gravedad:** Crítica (CVSS v3: 9.6)
**Productos afectados:**
– FortiOS 7.0.0 a 7.0.6
– FortiOS 7.2.0 y 7.2.1
– FortiProxy 7.0.0 a 7.0.6 y 7.2.0
– FortiSwitchManager 7.2.0
**Vector de ataque:**
El exploit aprovecha una vulnerabilidad en la interfaz de administración HTTP(S) expuesta a Internet. Un atacante remoto no autenticado puede manipular cabeceras HTTP especialmente formateadas para obtener acceso administrativo al dispositivo, eludiendo el 2FA y otras restricciones de autenticación.
**Técnicas MITRE ATT&CK relevantes:**
– T1078: Access Token Manipulation
– T1190: Exploit Public-Facing Application
– T1110: Brute Force (en combinaciones con ataques de fuerza bruta previos)
**Indicadores de Compromiso (IoC):**
– Acceso inusual a la interfaz de administración vía HTTP(S)
– Creación de nuevas cuentas administrativas sin autorización
– Cambios en la configuración del firewall fuera de los horarios habituales
– Logs de autenticación anómalos o borrados
**Exploits conocidos y herramientas utilizadas:**
Se han detectado módulos para Metasploit y scripts públicos en GitHub capaces de automatizar la explotación. Algunos grupos avanzados emplean además frameworks como Cobalt Strike para la post-explotación y el movimiento lateral.
#### Impacto y Riesgos
La explotación exitosa de esta vulnerabilidad concede a los atacantes privilegios administrativos plenos sobre el dispositivo, permitiendo modificar políticas de firewall, desactivar medidas de protección, desplegar backdoors y pivotar hacia otros sistemas internos. Según diferentes fuentes, más de 150.000 dispositivos FortiGate permanecen expuestos en Internet, y se estima que cerca del 40% no han aplicado los parches publicados por Fortinet.
El riesgo se ve acrecentado en sectores regulados (financiero, sanitario, infraestructuras críticas), donde el compromiso de la seguridad perimetral puede derivar en filtraciones de datos sujetos a la GDPR, interrupciones de servicio y sanciones económicas relevantes.
#### Medidas de Mitigación y Recomendaciones
– **Actualización inmediata:** Aplicar sin demora los parches de seguridad proporcionados por Fortinet para todas las versiones afectadas.
– **Restricción de acceso:** Limitar el acceso a la interfaz de administración a redes internas o mediante VPN segura.
– **Auditoría y monitorización:** Revisar logs de autenticación y configuración, así como implementar alertas ante accesos sospechosos.
– **Segmentación de red:** Minimizar la exposición de dispositivos críticos mediante segmentación y principios de mínimo privilegio.
– **Desactivar servicios innecesarios:** Cerrar o restringir los puertos de administración HTTP/HTTPS a nivel de firewall.
– **Plan de respuesta:** Disponer de un procedimiento de respuesta ante incidentes y de recuperación rápida ante una posible intrusión.
#### Opinión de Expertos
Analistas de SOC y consultores en ciberseguridad coinciden en señalar que la explotación de CVE-2022-40684 es un claro ejemplo del peligro de dejar expuestos interfaces de administración a Internet y de la importancia de la gestión activa de vulnerabilidades. “La velocidad con la que los atacantes incorporan exploits a sus arsenales es cada vez mayor; no basta con confiar en la autenticación fuerte si existe una vulnerabilidad no parcheada en la capa subyacente”, advierte Pablo Martín, arquitecto de seguridad de una gran entidad financiera.
#### Implicaciones para Empresas y Usuarios
La persistencia de amenazas activas sobre esta vulnerabilidad obliga a las organizaciones a revisar de inmediato sus políticas de actualización, visibilidad sobre dispositivos expuestos y segmentación de acceso. Desde la perspectiva de cumplimiento normativo (GDPR, NIS2), un incidente derivado de la explotación de esta vulnerabilidad podría acarrear graves consecuencias legales y reputacionales.
Para los usuarios y administradores, es crítico mantener una postura de vigilancia constante, revisar la configuración de dispositivos y no confiar ciegamente en mecanismos de autenticación si existe una posible brecha a nivel de firmware o software base.
#### Conclusiones
La explotación continuada de la vulnerabilidad crítica en FortiOS evidencia la importancia de la actualización proactiva y la defensa en profundidad en entornos corporativos. La falta de acción rápida ante vulnerabilidades conocidas puede traducirse en compromisos sistémicos, con consecuencias técnicas y legales de gran alcance. La gestión de parches, la monitorización avanzada y la restricción de accesos deben formar parte integral de cualquier estrategia de ciberseguridad moderna.
(Fuente: www.bleepingcomputer.com)