Aviso de seguridad: Campaña «FortiBleed» — Compromiso a gran escala de dispositivos Fortinet

Los investigadores han revelado recientemente una campaña a gran escala, denominada «FortiBleed», que implica el robo y la exposición de credenciales asociadas a los cortafuegos FortiGate de Fortinet y a dispositivos SSL VPN en entornos de todo el mundo.

A diferencia de las vulnerabilidades tradicionales, FortiBleed no es un único CVE ni un fallo de día cero confirmado. En cambio, representa una campaña activa de exposición y explotación de credenciales que aprovecha a gran escala credenciales reutilizadas y potencialmente expuestas.

No se ha confirmado el origen exacto de las credenciales utilizadas en esta campaña. Sin embargo, la actividad es coherente con técnicas de reutilización y recolección de credenciales a gran escala.

Se ha observado que la campaña afecta a decenas de miles de dispositivos Fortinet conectados a Internet en más de 190 países, lo que repercute en organizaciones de los sectores de infraestructuras críticas, administración pública y empresas.

Esta actividad pone de relieve el riesgo que supone la reutilización de credenciales, las interfaces de gestión expuestas y los controles de autenticación insuficientes, especialmente en infraestructuras periféricas como las pasarelas VPN.

En qué consiste la campaña

FortiBleed se caracteriza por un modelo de ataque altamente automatizado, que combina varias técnicas en lugar de basarse en un único exploit.

Entre las actividades notificadas u observadas asociadas a la campaña se incluyen:

• Reutilización de credenciales y «credential stuffing» utilizando grandes conjuntos de datos de credenciales conocidas o expuestas
• Escaneo masivo de Internet para identificar dispositivos Fortinet expuestos
• Intentos de autenticación a gran escala, incluida la aplicación de fuerza bruta contra VPN e interfaces administrativas
• Posible interceptación o recopilación de datos de autenticación de sistemas comprometidos
• Reutilización de credenciales recién obtenidas para ampliar potencialmente el acceso

En muchos casos, la campaña parece basarse en credenciales válidas en lugar de explotar una falla específica del software, lo que dificulta su detección mediante los procesos tradicionales de gestión de vulnerabilidades.

Alcance e impacto

Los informes públicos indican lo siguiente:

• Hasta unos 73 000 puntos finales de cortafuegos y VPN de Fortinet podrían estar asociados a credenciales expuestas
• Más de 30 000 dispositivos cuentan con credenciales válidas verificadas en las bases de datos de los atacantes
• La actividad se extiende por 194 países y afecta tanto a organizaciones del sector público como del privado

Entre los sistemas afectados se incluyen:

• Firewalls FortiGate (objetivo principal)
• Interfaces VPN SSL expuestas a Internet
• Portales de gestión administrativa para dispositivos Fortinet

Si el ataque tiene éxito, los atacantes podrían:

• Obtener acceso persistente a los dispositivos perimetrales de la red
• Supervisar y capturar el tráfico de red
• Obtener credenciales adicionales
• Acceder a sistemas internos, como entornos de Active Directory

Aclaración importante

Es importante señalar lo siguiente:

• En muchos casos, la campaña parece basarse en credenciales válidas más que en un único fallo de software identificado.
• Los análisis actuales sugieren que la campaña implica una amplia reutilización de credenciales, aunque los métodos precisos de acceso inicial pueden variar y no están totalmente confirmados.
• Es posible que se aprovechen de forma oportunista algunas vulnerabilidades conocidas de Fortinet, pero no se ha confirmado que sean la causa principal de la campaña

Actividad de la amenaza

Según los informes, la campaña implica:

• Actividad altamente automatizada, potencialmente capaz de procesar grandes volúmenes de intentos de autenticación
• Escaneos continuos o repetidos y validación de credenciales en sistemas expuestos
• Reutilización de credenciales comprometidas, lo que podría permitir a los atacantes ampliar su acceso con el tiempo

Algunos informes sugieren que la autoría recae en actores maliciosos organizados y con motivaciones económicas, aunque la atribución sigue siendo objeto de investigación.

Qué significa esto para las organizaciones

FortiBleed pone de manifiesto un cambio hacia:

• Campañas de intrusión a gran escala basadas en credenciales
• Dispositivos del perímetro de la red como objetivo prioritario, en lugar de los sistemas internos
• La explotación de vulnerabilidades relacionadas con la identidad, en lugar de centrarse principalmente en fallos de software

Las organizaciones pueden correr riesgo si:

• Exponen a Internet las interfaces de gestión de Fortinet o los portales VPN
• Reutilizan contraseñas en distintos sistemas o no renuevan las credenciales
• No imponen la autenticación multifactorial (MFA)
• Carecen de visibilidad sobre la actividad de autenticación en los dispositivos perimetrales de la red

Dado que pueden utilizarse credenciales válidas, las intrusiones pueden parecer actividades legítimas, lo que retrasa su detección.

Medidas de mitigación recomendadas

1. Comprueba si tu organización se ve afectada

Busque los dominios, las direcciones IP y las credenciales conocidas de su organización utilizando la herramienta de comprobación de exposición de Fortinet de Hudson Rock (https://www.hudsonrock.com/fortinet) u otras herramientas externas de confianza para determinar si aparecen en conjuntos de datos identificados públicamente y asociados a esta campaña. En caso de coincidencia, proceda al restablecimiento de las credenciales y a la revisión de los registros.

2. Cambie las credenciales de inmediato

• Restablezca las contraseñas de todos los dispositivos Fortinet y cuentas administrativas
• Aplique políticas de contraseñas seguras
• Evite reutilizar credenciales que hayan sido expuestas anteriormente

3. Implemente la autenticación multifactorial (MFA)

• Aplicar la MFA a todos los accesos VPN y administrativos
• Dar prioridad a la MFA en los servicios conectados a Internet

4. Restringir la exposición de las interfaces de gestión

• Limitar el acceso a los portales administrativos de Fortinet y a los puntos finales de VPN SSL
• Utilizar listas de direcciones IP autorizadas o restricciones de acceso a la VPN
• Evitar la exposición directa a la Internet pública siempre que sea posible

5. Supervisar la actividad de autenticación

• Revise los registros en busca de:
  • Intentos de inicio de sesión inusuales
  • Errores de autenticación repetidos
  • Inicios de sesión desde ubicaciones geográficas inesperadas
• Investigue cualquier comportamiento anómalo de las sesiones

6. Revisar los indicadores de compromiso

• Compruebe si hay cuentas no autorizadas o cambios en la configuración
• Supervisar el tráfico saliente inusual procedente de dispositivos Fortinet
• Verifique la integridad de las configuraciones del sistema

7. Aplicar actualizaciones de seguridad

Aunque FortiBleed no está vinculado a una única vulnerabilidad, asegúrese de que:

• Todos los sistemas de Fortinet estén completamente actualizados
• Se hayan corregido las vulnerabilidades conocidas que han sido objeto de explotación

Resumen de riesgos

FortiBleed representa una campaña de ataques global de gran impacto basada en credenciales, más que un incidente tradicional basado en vulnerabilidades.

Dado que puede valerse de credenciales válidas y vías de acceso de confianza, es capaz de eludir muchos controles de seguridad convencionales y permanecer sin ser detectado durante largos periodos de tiempo.

Las organizaciones deben considerar esta actividad como un riesgo prioritario para la seguridad del perímetro de la red y tomar medidas inmediatas para comprobar si existen credenciales expuestas o vías de acceso vulnerables en su entorno.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, si lo prefiere, contáctenospara averiguar cómo puede proteger su organización.