AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Nuevas reglas SIEM de Kaspersky detectan intentos de evasión de autenticación SSO en Fortinet

admin

Introducción

La rápida evolución de las técnicas de ataque orientadas a la evasión de controles de autenticación ha motivado a los principales fabricantes de soluciones de monitorización y respuesta ante incidentes a actualizar sus mecanismos de detección. En este contexto, Kaspersky ha incorporado a su plataforma Unified Monitoring and Analysis Platform (KUMA) un nuevo conjunto de reglas SIEM específicamente diseñadas para identificar intentos de eludir la autenticación en productos Fortinet, aprovechando vulnerabilidades o configuraciones inseguras en el mecanismo de inicio de sesión único (SSO) vía FortiCloud. Esta medida responde al creciente interés de los actores de amenazas en explotar vectores relacionados con Single Sign-On para acceder a infraestructuras corporativas.

Contexto del Incidente o Vulnerabilidad

Fortinet, proveedor líder en soluciones de seguridad de red, integra en sus productos empresariales la autenticación centralizada a través de FortiCloud SSO, permitiendo a usuarios y administradores acceder a múltiples servicios con una única credencial. Si bien este mecanismo simplifica la gestión de identidades, ha sido objeto de múltiples intentos de explotación, especialmente en escenarios donde existen configuraciones débiles, errores en la implementación del protocolo SAML o vulnerabilidades conocidas (como las documentadas en CVE-2023-33308 y CVE-2023-29183).

Durante los últimos meses, se ha observado un aumento en los intentos de explotación de flujos de autenticación SSO para evadir controles de acceso y obtener privilegios elevados. Estas técnicas, alineadas con tácticas de la matriz MITRE ATT&CK como “Valid Accounts” (T1078) y “Abuse Elevation Control Mechanism” (T1548), han motivado la reacción proactiva de fabricantes de SIEM y plataformas de threat detection.

Detalles Técnicos

Las nuevas reglas SIEM incorporadas en KUMA analizan eventos de autenticación anómalos en dispositivos Fortinet e interacciones con el servicio FortiCloud. Entre los principales vectores de ataque detectados se incluyen:

– Manipulación de tokens SAML: Intentos de reutilización, modificación o falsificación de tokens SAML para eludir la validación del usuario.
– Bypass de validaciones OAuth/OpenID Connect: Uso de sesiones caducadas, manipulación de redirect_uri o saltos indebidos en el flujo de autenticación.
– Acceso desde ubicaciones geográficas atípicas o dispositivos no autorizados.
– Uso de cuentas de servicio o credenciales comprometidas para acceder a recursos protegidos.

Las reglas correlacionan logs provenientes de FortiGate, FortiAuthenticator, FortiManager y otros appliances integrados con FortiCloud SSO, identificando patrones como múltiples fallos de autenticación seguidos de un acceso exitoso, firmas de exploits conocidos (por ejemplo, scripts de Metasploit y módulos de Cobalt Strike que abusan de SAML), y anomalías en los tiempos de emisión y expiración de tokens.

Indicadores de Compromiso (IoC):

– Cambios inesperados en los atributos SAML (NameID, Assertion, Audience).
– Autenticaciones exitosas tras múltiples fallos en cortos periodos.
– Acceso desde IPs previamente no vistas o proxies TOR.
– Errores en la validación de certificados o firma de tokens.

Impacto y Riesgos

La explotación exitosa de fallos en la autenticación SSO en entornos Fortinet puede permitir a los atacantes eludir los mecanismos de acceso, comprometer cuentas privilegiadas y desplegar acciones posteriores como movimiento lateral, exfiltración de datos o despliegue de ransomware. Según estimaciones recientes, alrededor del 15% de las organizaciones que utilizan FortiCloud SSO presentan configuraciones susceptibles a ataques de este tipo, lo que sitúa el riesgo en un nivel considerable.

A nivel regulatorio, una brecha de este tipo puede tener implicaciones directas respecto a la GDPR (Reglamento General de Protección de Datos) y, próximamente, la directiva NIS2, que exige controles reforzados y una monitorización continua de incidentes de seguridad.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan adoptar un enfoque defense-in-depth, combinando:

– Actualización inmediata de appliances Fortinet a las versiones corregidas frente a los CVE mencionados.
– Revisión y endurecimiento de las políticas SSO y configuración SAML.
– Implementación de autenticación multifactor (MFA) obligatoria para todos los accesos administrados por FortiCloud.
– Monitorización continua de logs de autenticación y uso de reglas de correlación SIEM como las publicadas por Kaspersky.
– Auditorías periódicas de cuentas privilegiadas y rotación de credenciales de servicio.
– Bloqueo geográfico y limitación de accesos a redes de confianza.

Opinión de Expertos

Analistas de Kaspersky y otros referentes del sector subrayan la importancia de una visibilidad granular sobre los flujos de autenticación, especialmente en entornos híbridos y multinube: “El auge del trabajo remoto y la adopción acelerada de SSO incrementan la superficie de ataque. Automatizar la detección de anomalías en flujos SAML y OAuth es crítico para anticipar movimientos del adversario”, señala Vladislav Tushkanov, investigador principal de amenazas en Kaspersky.

Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, la inclusión de estas reglas SIEM supone una herramienta valiosa para reducir el tiempo de detección y respuesta ante ataques sobre SSO. Sin embargo, no sustituyen a una estrategia integral de gestión de identidades ni a la formación continua de usuarios en buenas prácticas. Las organizaciones deben considerar la integración de estos mecanismos en su stack de seguridad y revisar procesos internos para adaptarse a las crecientes exigencias regulatorias y tendencias de amenaza.

Conclusiones

La actualización de KUMA con reglas específicas para identificar bypass de autenticación SSO en entornos Fortinet representa un avance significativo en la detección proactiva de amenazas sofisticadas. La monitorización y respuesta en tiempo real, junto con la adaptación de políticas y controles, son clave para mitigar los riesgos derivados de la explotación de vulnerabilidades en mecanismos de autenticación centralizada.

(Fuente: www.kaspersky.com)