top of page

Los cortafuegos de Fortinet FortiGate bajo ataque al explotar una vulnerabilidad de día cero

Foto del escritor: Silvi OconSilvi Ocon

La empresa de ciberseguridad Arctic Wolf ha revelado los detalles de una campaña cibernética en curso dirigida a los dispositivos de firewall Fortinet FortiGate con interfaces de gestión expuestas en la Internet pública.

Los dispositivos FortiGate NGFW incluyen una característica estándar que permite a los administradores acceder a la interfaz de línea de comandos a través de la interfaz de administración basada en la web, proporcionando una gestión conveniente.


Los actores de amenazas están explotando lo que se sospecha fuertemente como una vulnerabilidad de día cero, permitiendo que el acceso administrativo no autorizado modifique las configuraciones del cortafuegos, extraiga credenciales y se mueva lateralmente dentro de entornos comprometidos.

Si bien el alcance total de la vulnerabilidad aún no se ha confirmado, Arctic Wolf insta a las organizaciones que utilizan los cortafuegos de FortiGate a deshabilitar inmediatamente el acceso a la interfaz de gestión pública y a tomar medidas de seguridad adicionales para mitigar los riesgos potenciales.

"La campaña involucró inicios de sesión administrativos no autorizados en las interfaces de gestión de los cortafuegos, la creación de nuevas cuentas, la autenticación SSL VPN a través de esas cuentas y varios otros cambios de configuración".

El ataque parecía oportunista, no dirigido a una industria u organización específica. Explotó principalmente las vulnerabilidades en los dispositivos FortiGate que ejecutan las versiones de firmware 7.0.14 a 7.0.16, lanzadas entre febrero y octubre de 2024.

Para ocultar su actividad en la interfaz de línea de comandos de jsconsole, los atacantes utilizaron direcciones IP falsificadas, incluidas direcciones de bucle invertido (por ejemplo, 127.0.0.1) y solucionadores de DNS bien conocidos (por ejemplo, 8.8.8.8).


Observación de ataque

La campaña de ataque, observada por Arctic Wolf Labs entre noviembre de 2024 y diciembre de 2024, implicó una progresión gradual de la actividad maliciosa:

Entre el 16 de noviembre y el 27 de diciembre de 2024, los actores de amenazas ejecutaron un ataque de varias fases dirigido a dispositivos FortiGate vulnerables.

Durante la Fase 1 (del 16 al 23 de noviembre), realizaron escaneos de vulnerabilidad, explotando la interfaz de línea de comandos de jsconsole y a menudo utilizando direcciones IP inusuales o falsificadas, como direcciones de bucle invertido (por ejemplo, 127.0.0.1) o solucionadores de DNS públicos (por ejemplo, 8.8.8.8).


En la Fase 2 (22-27 de noviembre), los atacantes realizaron un reconocimiento haciendo cambios iniciales en la configuración para probar si habían obtenido con éxito privilegios administrativos.

La fase 3 (del 4 al 7 de diciembre) implicó la configuración del acceso SSL VPN, durante el cual los atacantes crearon nuevas cuentas de súper administrador o secuestraron las existentes para infiltrarse aún más en las redes. También modificaron la configuración del portal VPN o explotaron las cuentas de "invitados" predeterminadas para el control.

Finalmente, en la Fase 4 (del 16 al 27 de diciembre), aprovechando el acceso administrativo, los atacantes utilizaron la técnica DCSync para extraer credenciales explotando la replicación de dominios, lo que permite un acceso más profundo a la información confidencial de la cuenta.


Remediación y mejores prácticas

Arctic Wolf enfatiza la importancia crítica de asegurar las interfaces de gestión y limitar el acceso solo a usuarios internos de confianza. Las recomendaciones clave incluyen:

  1. Deshabilitar el acceso a la interfaz de gestión pública inmediatamente: Asegúrese de que las interfaces de gestión del cortafuegos sean inaccesibles desde la Internet pública.

  2. Actualizar el firmware regularmente: parchear los dispositivos a la última versión estable para protegerse contra las vulnerabilidades conocidas.

  3. Supervisar la actividad anómala: Busque comportamientos de inicio de sesión inusuales, como múltiples inicios de sesión de administrador de corta duración o el uso de IP de bucle de bucle.

  4. Usar la autenticación multifactor (MFA): fortalecer la seguridad de inicio de sesión para el acceso administrativo.

  5. Llevar a cabo la caza de amenazas: investigar si hay signos de actividad maliciosa, incluidos cambios de configuración no autorizados o configuraciones de cuentas SSL VPN.


Arctic Wolf también ha integrado las detecciones para esta campaña en su plataforma de Detección y Respuesta Gestionada (MDR) para mejorar la protección de los clientes.

El 12 de diciembre de 2024, Arctic Wolf informó de las actividades observadas a Fortinet, cuyo equipo interno de PSIRT confirmó la conciencia de la campaña el 17 de diciembre de 2024. Fortinet está investigando activamente el problema.


Esta campaña subraya los riesgos de exponer las interfaces de gestión en las redes públicas. Se insta a las organizaciones a actuar rápidamente para implementar las mejores prácticas de la industria, prevenir nuevas intrusiones y protegerse contra posibles vulnerabilidades aún por surgir.

3 visualizaciones0 comentarios

Entradas recientes

Ver todo

Comments


bottom of page