AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Ciberdelincuentes monetizan accesos masivos a firewalls Fortinet y explotan zero-day en Nextcloud**

### 1. Introducción

En las últimas semanas, el panorama de amenazas ha sido sacudido por una campaña de ataques que afecta a miles de dispositivos de seguridad perimetral Fortinet. Tras comprometer estos dispositivos, los actores de amenazas han comenzado a monetizar el acceso obtenido, diversificando sus tácticas al explotar también una vulnerabilidad zero-day en el popular software de colaboración Nextcloud. Este movimiento evidencia una sofisticación creciente, así como una rápida adaptación de los atacantes a nuevas oportunidades de explotación en entornos corporativos.

### 2. Contexto del Incidente o Vulnerabilidad

Los ataques iniciales se centraron en dispositivos Fortinet FortiGate, que históricamente han sido objetivo prioritario por su exposición pública y su papel crítico en la infraestructura de red de las organizaciones. El acceso inicial se consiguió explotando vulnerabilidades conocidas y, más recientemente, mediante el aprovechamiento de credenciales filtradas y configuraciones inseguras.

A medida que los atacantes consolidaban su posición dentro de las redes comprometidas, se ha detectado un giro hacia la monetización directa del acceso, mediante la venta de credenciales, instalación de ransomware y exfiltración de información sensible. De forma paralela, los mismos grupos han comenzado a aprovechar una vulnerabilidad zero-day en entornos Nextcloud, expandiendo así su superficie de ataque hacia sistemas de almacenamiento y colaboración interna.

### 3. Detalles Técnicos

#### Vulnerabilidades en Fortinet

Los dispositivos FortiGate afectados corren versiones antiguas del firmware FortiOS, incluyendo versiones anteriores a la 7.2.5 y 7.4.0. Entre las CVE explotadas destacan:

– **CVE-2023-27997** (vulnerabilidad de ejecución remota de código en SSL-VPN, score CVSS 9.8)
– **CVE-2022-40684** (autenticación mediante bypass en la interfaz de administración, CVSS 9.6)

Los atacantes emplean técnicas detalladas en el framework MITRE ATT&CK, incluyendo:

– **Initial Access (T1190)**: Explotación de vulnerabilidades en dispositivos expuestos.
– **Persistence (T1136, T1505)**: Creación de cuentas administrativas y modificación de scripts de inicio.
– **Command and Control (T1071)**: Uso de canales cifrados personalizados y tráfico VPN.
– **Exfiltration (T1041)**: Extracción de datos mediante canales cifrados.

#### Explotación de Zero-day en Nextcloud

El zero-day en Nextcloud, aún sin CVE asignado al cierre de este artículo, permite a un atacante autenticado escalar privilegios y, en algunos casos, ejecutar código arbitrario en el servidor. La explotación se realiza mediante la manipulación de peticiones legítimas a la API de Nextcloud, empleando técnicas de deserialización insegura y bypass de controles de autenticidad.

Se han identificado herramientas automatizadas y scripts de explotación customizados, así como la integración de módulos en frameworks como Metasploit y Cobalt Strike para facilitar la post-explotación y movimiento lateral.

Los Indicadores de Compromiso (IoC) observados incluyen:

– Conexiones persistentes desde direcciones IP de ASNs asociados a bulletproof hosting.
– Creación de usuarios Nextcloud con privilegios elevados.
– Modificación de archivos de configuración (`config.php`) y ejecución de payloads en directorios temporales.

### 4. Impacto y Riesgos

Según los datos de telemetría recopilados por varios CERT europeos, más de 6.500 instancias de FortiGate han sido comprometidas en diferentes sectores, incluyendo financiero, educativo y administración pública. El acceso a estos dispositivos permite a los atacantes:

– Desplegar ransomware en redes internas.
– Interceptar y manipular tráfico cifrado.
– Exfiltrar documentos y bases de datos confidenciales.

En el caso de Nextcloud, la explotación del zero-day pone en riesgo la integridad y confidencialidad de archivos corporativos, credenciales y metadatos, lo que puede derivar en filtraciones masivas y sanciones bajo el marco legal del RGPD y la directiva NIS2.

El impacto económico estimado por incidentes de este tipo supera los 12 millones de euros en pérdidas directas e indirectas (costes de recuperación, sanciones y reputación).

### 5. Medidas de Mitigación y Recomendaciones

– **Fortinet FortiGate**: Actualizar inmediatamente a las versiones más recientes (FortiOS 7.2.7 y 7.4.3 o superior).
– **Deshabilitar interfaces de administración** expuestas a Internet y restringir accesos mediante VPN y listas de control.
– **Monitorizar logs** en busca de accesos sospechosos, creación de cuentas no autorizadas y cambios en la configuración.
– **Nextcloud**: Aplicar parches de seguridad en cuanto estén disponibles y limitar el acceso a la API a usuarios verificados.
– **Restricción de permisos** en cuentas administrativas y auditorías periódicas.
– **Implementar segmentación de red** y detección de actividad anómala con SIEM y EDR.
– **Backup y recuperación**: Verificar la integridad de copias de seguridad y establecer procedimientos de restauración rápidos.

### 6. Opinión de Expertos

Analistas de amenazas de empresas líderes como Mandiant y S21sec han advertido sobre la profesionalización de los grupos responsables, quienes emplean técnicas de persistencia avanzadas y monetización directa, como la venta de accesos en foros clandestinos y la implantación de ransomware como servicio (RaaS). Según María López, responsable de SOC en una multinacional tecnológica, “la explotación encadenada de vulnerabilidades en perímetro y aplicaciones colaborativas demuestra que los atacantes ya no se conforman con un único vector, sino que buscan maximizar el impacto y el beneficio económico”.

### 7. Implicaciones para Empresas y Usuarios

Este incidente subraya la urgencia de mantener una estrategia de defensa en profundidad que no dependa únicamente de la protección perimetral. La explotación de dispositivos de red y aplicaciones internas obliga a revisar políticas de gestión de vulnerabilidades, segmentación y control de privilegios, así como a invertir en detección proactiva y respuesta ante incidentes. Para los usuarios finales, es esencial no reutilizar credenciales y estar alerta ante posibles compromisos de cuentas.

### 8. Conclusiones

La campaña actual contra dispositivos Fortinet y entornos Nextcloud marca un nuevo hito en la sofisticación y ambición de los grupos de ciberdelincuentes. La explotación encadenada de vulnerabilidades críticas y zero-day, combinada con estrategias de monetización directa, exige una respuesta coordinada y proactiva tanto a nivel técnico como organizativo. La pronta aplicación de parches, la monitorización continua y la concienciación del personal serán claves para mitigar riesgos y proteger los activos corporativos frente a amenazas en constante evolución.

(Fuente: www.darkreading.com)