### Ciberataque masivo contra FortiGate: Descubren sniffer en Go que expone 110 millones de credenciales
—
#### 1. Introducción
El ecosistema de la ciberseguridad ha sido testigo de una campaña global sin precedentes dirigida a dispositivos FortiGate, en la que actores maliciosos han desplegado un sniffer desarrollado en Go (Golang) para interceptar y exfiltrar credenciales a gran escala. Según las últimas investigaciones, aproximadamente 430.000 firewalls FortiGate han sido objetivo de esta operación, resultando en la identificación y robo de cerca de 110 millones de credenciales. Esta situación pone de manifiesto la sofisticación de los atacantes y la criticidad de aplicar medidas de defensa proactivas.
—
#### 2. Contexto del Incidente
Fortinet, proveedor líder de soluciones de ciberseguridad, confirmó recientemente que una vulnerabilidad crítica (CVE-2023-27997, conocida como «XORtigate») está siendo explotada activamente por grupos APT y cibercriminales. La vulnerabilidad afecta a múltiples versiones del firmware FortiOS, y permite la ejecución remota de código sin autenticación previa. El vector de ataque ha sido aprovechado en una campaña orquestada a nivel mundial desde mediados de 2023, teniendo como objetivo principal el acceso no autorizado a redes corporativas protegidas por FortiGate.
La campaña, atribuida a actores con vinculación a cibercrimen organizado y posibles intereses estatales, ha puesto en jaque a organizaciones de todos los sectores, incluyendo infraestructuras críticas, instituciones financieras y entidades del sector público, especialmente en la UE y América del Norte.
—
#### 3. Detalles Técnicos: CVE, vectores de ataque y TTP
##### Vulnerabilidad implicada
– **CVE-2023-27997**: Desbordamiento de búfer en la implementación SSL-VPN de FortiOS, catalogada con una puntuación CVSS de 9.8 (Crítica). Afecta a FortiOS versiones 6.0 a 7.2.4 (y derivados de FortiProxy).
##### Vectores de ataque
Los atacantes han aprovechado la exposición de las interfaces VPN SSL de FortiGate en internet para explotar la vulnerabilidad y desplegar un sniffer personalizado, escrito en Go. Este componente malicioso monitoriza el tráfico de autenticación, interceptando credenciales de acceso (usuario y contraseña) en tiempo real.
##### Técnicas, Tácticas y Procedimientos (TTP)
– **MITRE ATT&CK**:
– T1190 (Exploitation of Public-Facing Application)
– T1040 (Network Sniffing)
– T1005 (Data from Local System)
– T1041 (Exfiltration Over C2 Channel)
– **IoC (Indicadores de Compromiso)**:
– Hashes de los binarios de Go
– Comunicación con C2 sobre HTTP/HTTPS no estándar
– Artefactos persistentes en `/tmp` y rutas customizadas
– Logs de acceso anómalos en los dispositivos FortiGate
##### Herramientas y frameworks utilizados
Aunque el sniffer es de desarrollo propio, los adversarios han empleado frameworks de explotación como Metasploit para la entrega inicial, y Cobalt Strike para post-explotación y movimiento lateral.
—
#### 4. Impacto y Riesgos
El impacto es significativo tanto en términos de escala como de profundidad. La exfiltración de 110 millones de credenciales afecta a cuentas de acceso remoto, usuarios internos, y servicios críticos de red. Entre los riesgos destacan:
– Compromiso de redes corporativas y VPNs
– Acceso persistente para futuras campañas de ransomware o espionaje
– Riesgo de cumplimiento legal (GDPR, NIS2) por fuga de datos personales y confidenciales
– Potencial para ataques de cadena de suministro si se comprometen cuentas con privilegios elevados
Según estimaciones independientes, hasta un 18% de los dispositivos FortiGate expuestos a internet podrían estar afectados por la vulnerabilidad si no han actualizado a versiones corregidas.
—
#### 5. Medidas de Mitigación y Recomendaciones
– **Actualización inmediata** a FortiOS 7.2.5 o superior, y FortiProxy 7.2.3 o superior.
– **Auditoría de logs** para identificar accesos anómalos, instalación de binarios no reconocidos y extracción masiva de datos.
– **Implementación de MFA** en todos los accesos remotos y cuentas administrativas.
– **Restricción del acceso externo** a la interfaz VPN SSL y exposición mínima a internet.
– **Monitorización avanzada** (EDR/NDR) y despliegue de reglas específicas para detectar IoC asociados.
– **Segregación de redes** y revisión de privilegios de cuentas comprometidas.
– **Notificación a la AEPD** y demás autoridades de protección de datos en caso de fuga de información conforme a GDPR y NIS2.
—
#### 6. Opinión de Expertos
Profesionales del sector, como CISOs y analistas de amenazas, coinciden en subrayar la rapidez con la que los atacantes han industrializado la explotación de vulnerabilidades en appliances de seguridad. “El uso de binarios en Go demuestra una clara evolución en la cadena de ataque, permitiendo portabilidad y evasión de firmas tradicionales”, señala un analista de un CERT europeo. Además, consultores en ciberseguridad advierten que la falta de gestión de vulnerabilidades y la excesiva confianza en la seguridad perimetral siguen siendo vectores de riesgo recurrentes.
—
#### 7. Implicaciones para Empresas y Usuarios
El incidente debe servir de advertencia para todas las organizaciones que basan su seguridad en dispositivos perimetrales sin una estrategia integral de defensa en profundidad. Se recomienda realizar auditorías periódicas, reforzar la capacitación de los equipos IT y revisar las políticas de gestión de parches y vulnerabilidades. El impacto reputacional y financiero de una brecha de este tipo, junto con posibles sanciones bajo GDPR o NIS2, puede ser devastador.
—
#### 8. Conclusiones
La campaña contra FortiGate evidencia la sofisticación y escala de las amenazas actuales contra infraestructuras críticas. La explotación de vulnerabilidades conocidas, combinada con el despliegue de malware de nueva generación, exige una respuesta coordinada y proactiva de todo el sector. Solo mediante una gestión rigurosa de vulnerabilidades, la aplicación de controles de acceso robustos y la monitorización continua, las organizaciones podrán mitigar el riesgo y responder eficazmente ante incidentes de esta magnitud.
(Fuente: www.darkreading.com)