Más de 10.000 cortafuegos Fortinet expuestos a Internet siguen vulnerables a una brecha crítica en 2FA

Introducción

Cinco años después de la publicación de una vulnerabilidad crítica de omisión de doble factor de autenticación (2FA) en FortiOS, más de 10.000 cortafuegos Fortinet expuestos a Internet continúan siendo susceptibles a ataques. Esta situación pone de manifiesto la persistente brecha entre la divulgación de vulnerabilidades y su remediación efectiva en infraestructuras críticas, especialmente en entornos donde los cortafuegos representan la primera línea de defensa.

Contexto del Incidente o Vulnerabilidad

La vulnerabilidad en cuestión, identificada como CVE-2018-13379, afecta a FortiOS, el sistema operativo de los dispositivos FortiGate de Fortinet. El fallo fue divulgado originalmente en 2019 y permite a atacantes remotos eludir la autenticación de doble factor, accediendo así a la interfaz de administración VPN SSL de los cortafuegos afectados. A pesar de los múltiples avisos de Fortinet y de organismos de ciberseguridad gubernamentales, se estima que al menos 10.250 dispositivos permanecen sin parchear y accesibles desde Internet, según recientes escaneos globales.

Detalles Técnicos

CVE-2018-13379 es una vulnerabilidad de tipo path traversal en el componente web de FortiOS SSL VPN. Permite a un atacante, sin necesidad de autenticación previa, descargar archivos del sistema, incluyendo archivos de sesión de usuarios activos, como «sslvpn_websession». Al obtener estos archivos, el atacante puede extraer credenciales de acceso y tokens de sesión válidos, eludiendo así los mecanismos de 2FA implementados.

El vector de ataque principal consiste en enviar una solicitud HTTP especialmente manipulada al portal SSL VPN, explotando la mala validación de rutas. Si la VPN SSL está expuesta a Internet y ejecuta una versión vulnerable (FortiOS 5.6.3 a 6.0.4), el compromiso es trivial. El fallo está catalogado con una gravedad de 9,8/10 en la escala CVSSv3.

En cuanto a TTPs (tácticas, técnicas y procedimientos), la vulnerabilidad se alinea con técnicas de Initial Access (TA0001) y Valid Accounts (T1078) del marco MITRE ATT&CK. Una vez obtenido el acceso, los atacantes pueden pivotar lateralmente, desplegar herramientas como Cobalt Strike o Metasploit para movimientos posteriores y establecer persistencia.

A lo largo de los años, se han publicado múltiples exploits públicos, incluidos módulos de Metasploit y scripts de explotación masiva, lo que ha facilitado campañas de acceso inicial para grupos de ransomware y amenazas persistentes avanzadas (APT).

Impacto y Riesgos

El principal riesgo reside en la obtención de acceso administrativo a la red corporativa a través de la interfaz VPN, lo que permite a los atacantes evadir controles perimetrales y lanzar ataques internos, como exfiltración de datos, despliegue de ransomware o sabotaje de servicios críticos. La exposición de credenciales y sesiones de usuario compromete directamente la confidencialidad, integridad y disponibilidad de los sistemas.

La persistencia de dispositivos vulnerables tras cinco años implica también un incumplimiento potencial de normativas como el RGPD (Reglamento General de Protección de Datos) y la Directiva NIS2, exponiendo a las organizaciones a sanciones económicas considerables. Se han documentado incidentes masivos de ransomware (Ryuk, REvil, Conti) que han comenzado con la explotación de esta vulnerabilidad.

Medidas de Mitigación y Recomendaciones

Desde 2019, Fortinet ha publicado actualizaciones que corrigen CVE-2018-13379 en todas las ramas afectadas de FortiOS. Se recomienda encarecidamente:

– Actualizar inmediatamente a una versión de FortiOS igual o posterior a 6.0.5.
– Revisar registros de acceso y sesiones VPN en busca de indicadores de compromiso (IoC), como la descarga inusual de archivos .conf o .session.
– Implementar segmentación de red y restringir el acceso a la interfaz de administración VPN SSL solo a direcciones IP confiables.
– Desplegar soluciones de monitorización (SIEM, EDR) para detectar patrones de explotación conocidos.
– Revisar configuraciones de doble factor de autenticación y regenerar claves si se sospecha exposición.
– Informar a los usuarios y restablecer credenciales ante cualquier indicio de brecha.

Opinión de Expertos

Especialistas en ciberseguridad, como Jake Williams (ex-NSA y fundador de Rendition Infosec), subrayan: “La longevidad y explotación sistemática de CVE-2018-13379 es un claro ejemplo de la necesidad de gestión continua de vulnerabilidades y visibilidad sobre los activos expuestos. La existencia de exploits automatizados convierte cualquier dispositivo sin parches en una puerta abierta para atacantes, independientemente del tamaño de la organización.”

Implicaciones para Empresas y Usuarios

Para las organizaciones, la persistencia de esta vulnerabilidad supone una amenaza directa a la continuidad del negocio y a la protección de datos personales y confidenciales, especialmente en sectores regulados (financiero, salud, infraestructuras críticas). Un compromiso puede derivar en paralización de operaciones, filtraciones de información sensible y cuantiosas multas regulatorias.

Los usuarios finales pueden verse afectados indirectamente si sus credenciales o datos personales se ven comprometidos, lo que resalta la importancia de una higiene digital robusta y el uso de gestores de contraseñas.

Conclusiones

La exposición continua de cortafuegos Fortinet vulnerables a una brecha crítica de 2FA ilustra la urgencia de actualizar, monitorizar y gestionar proactivamente los activos de seguridad perimetral. Los CISO, responsables de SOC y administradores deben priorizar la erradicación de fallos conocidos y reforzar la visibilidad sobre dispositivos expuestos, alineando sus políticas con las exigencias normativas y las tendencias actuales de amenazas.

(Fuente: www.bleepingcomputer.com)