**Campaña FortiBleed: Cibercriminales despliegan sniffers personalizados para robar credenciales en dispositivos FortiGate**

—

### 1. Introducción

En las últimas semanas, la empresa de ciberinteligencia SOCRadar ha alertado sobre una campaña de ataques a gran escala, denominada “FortiBleed”, dirigida específicamente contra dispositivos de firewall Fortinet FortiGate. Según las investigaciones, los atacantes han empleado sniffers personalizados para interceptar y exfiltrar secretos de autenticación, incluidas credenciales de acceso, desde dispositivos ya comprometidos. Este incidente pone de manifiesto la sofisticación y persistencia de los actores de amenazas dirigidos a infraestructuras críticas, así como la importancia de mantener una postura defensiva proactiva ante vulnerabilidades conocidas.

—

### 2. Contexto del Incidente o Vulnerabilidad

Fortinet FortiGate es uno de los dispositivos de firewall más utilizados a nivel mundial para proteger redes empresariales. La campaña FortiBleed se suma a una serie de incidentes recientes que han explotado vulnerabilidades en estos dispositivos, aprovechando tanto fallos de día cero como debilidades ya parcheadas pero no aplicadas por organizaciones. Según datos de Shodan, se estima que hay más de 600.000 dispositivos FortiGate expuestos a internet, lo que los convierte en un objetivo atractivo para grupos de cibercrimen y ciberespionaje.

El modus operandi identificado en FortiBleed implica el despliegue de utilidades de sniffing personalizadas en los sistemas comprometidos, aprovechando el acceso privilegiado para interceptar tráfico interno, credenciales, tokens de sesión y otros secretos sensibles.

—

### 3. Detalles Técnicos

#### 3.1 CVEs y vectores de ataque

La campaña FortiBleed ha explotado varias vulnerabilidades críticas descubiertas en los últimos meses, entre ellas:

– **CVE-2023-27997** (conocida como “XORtigate”): Vulnerabilidad de ejecución remota de código (RCE) en SSL VPN, con CVSS 9.8.
– **CVE-2024-21762**: Nueva vulnerabilidad de RCE en FortiOS SSL VPN, CVSS 9.6, parcheada en febrero de 2024.

Ambas vulnerabilidades permiten a un atacante no autenticado ejecutar código arbitrario en el firewall y tomar control completo del dispositivo.

#### 3.2 TTPs (Tácticas, Técnicas y Procedimientos)

El análisis de SOCRadar, alineado con el marco MITRE ATT&CK, identifica las siguientes TTP relevantes:

– **TA0001 (Initial Access):** Exploitation of Public-Facing Application (T1190)
– **TA0002 (Execution):** Command and Scripting Interpreter (T1059)
– **TA0005 (Defense Evasion):** Impair Defenses (T1562), Obfuscated Files or Information (T1027)
– **TA0006 (Credential Access):** Input Capture (T1056), Credential Dumping (T1003)

#### 3.3 Herramientas y artefactos observados

Los actores han desarrollado sniffers personalizados en C y Python, capaces de interceptar procesos internos del FortiGate y extraer credenciales en texto claro o hashes. En algunos casos, se ha observado el uso de frameworks de post-explotación como **Metasploit** y **Cobalt Strike** para persistencia y movimiento lateral. Asimismo, se han identificado indicadores de compromiso (IoC) tales como direcciones IP de C2, rutas de archivos inusuales y scripts de automatización para la exfiltración masiva.

—

### 4. Impacto y Riesgos

Las consecuencias de la campaña FortiBleed son sustanciales:

– **Pérdida de confidencialidad:** Exfiltración de credenciales administrativas, tokens VPN y secretos de autenticación.
– **Acceso persistente:** Los adversarios pueden mantener el acceso mediante puertas traseras, incluso tras reinicios o actualizaciones superficiales.
– **Movimiento lateral:** Potencial de pivotar desde el firewall hacia segmentos internos de red.
– **Incumplimiento normativo:** Riesgo de infracciones graves a normativas como GDPR y NIS2, con posibles sanciones millonarias.
– **Impacto económico:** El coste medio de una brecha de estas características puede superar los 4 millones de euros, según datos de IBM y Ponemon Institute.

—

### 5. Medidas de Mitigación y Recomendaciones

Para reducir la superficie de ataque y mitigar los riesgos asociados, se recomienda:

– **Aplicar urgentemente los parches** para CVE-2023-27997, CVE-2024-21762 y otras vulnerabilidades relevantes.
– **Deshabilitar el acceso público a la interfaz de administración** y restringir el acceso VPN solo a direcciones IP de confianza.
– **Monitorizar logs y registros** en busca de actividad anómala, especialmente la creación de archivos desconocidos y conexiones salientes no autorizadas.
– **Implementar autenticación multifactor (MFA)** en todos los accesos administrativos y de VPN.
– **Auditar periódicamente la configuración** y firmware de todos los dispositivos FortiGate.
– **Revisar y revocar credenciales expuestas** tras la remediación.

—

### 6. Opinión de Expertos

Expertos de la comunidad, como Kevin Beaumont y Jake Williams, han subrayado que la explotación de dispositivos perimetrales es uno de los vectores más críticos en la cadena de ataque moderna. “Las organizaciones siguen subestimando el riesgo de los firewalls expuestos y la importancia de una gestión de parches ágil”, apunta Williams. Por su parte, desde SOCRadar señalan la necesidad de combinar inteligencia de amenazas con monitorización proactiva, ya que los ataques a dispositivos de red son cada vez más automatizados y selectivos.

—

### 7. Implicaciones para Empresas y Usuarios

Los dispositivos FortiGate suelen proteger activos críticos y datos sensibles. Su compromiso puede traducirse en accesos no autorizados a redes internas, interrupciones de servicio y fuga de información confidencial. Además, en el marco de la directiva europea NIS2, la notificación de incidentes y la gestión eficaz de vulnerabilidades es ahora un imperativo legal para operadores de servicios esenciales y proveedores de infraestructuras críticas.

Empresas que no apliquen los parches recomendados o no refuercen su postura defensiva, se exponen tanto a sanciones regulatorias como a la pérdida de confianza de clientes y partners.

—

### 8. Conclusiones

La campaña FortiBleed representa una amenaza avanzada y persistente contra infraestructuras perimetrales, evidenciando la capacidad de los atacantes para desarrollar herramientas especializadas de sniffing y exfiltración de credenciales. La rapidez en la aplicación de parches, junto con la monitorización continua y la adopción de buenas prácticas de seguridad, son esenciales para mitigar el impacto de estas campañas. Las organizaciones deben asumir que el perímetro sigue siendo un objetivo prioritario y ajustar sus estrategias de defensa en profundidad en consecuencia.

(Fuente: www.bleepingcomputer.com)