En los últimos meses, la comunidad de investigadores en ciberseguridad ha comenzado a alertar sobre una campaña emergente en la que actores maliciosos están aprovechando las vulnerabilidades de los dispositivos de firewall de próxima generación (NGFW) de Fortinet, específicamente los modelos FortiGate, para infiltrarse en redes de organizaciones vulnerables. Esta situación cobra especial relevancia en un contexto donde la seguridad perimetral es fundamental para proteger la infraestructura crítica de las empresas y las instituciones.
La técnica utilizada por estos atacantes se basa en la explotación de vulnerabilidades recientemente divulgadas así como en la utilización de credenciales débiles. En particular, se han identificado múltiples casos en los que los ciberdelincuentes logran acceder a los archivos de configuración de los dispositivos FortiGate. Estos archivos contienen información sensible, como credenciales de cuentas de servicio y la topología de la red, lo que otorga a los atacantes una ventaja significativa para planificar y ejecutar sus movimientos laterales dentro de la red comprometida.
Es importante señalar que, entre las vulnerabilidades que están siendo objeto de explotación en esta campaña, se encuentran varias que han sido catalogadas con identificadores de vulnerabilidad comunes (CVE). Por ejemplo, el CVE-2023-1234, que afecta a la versión 7.0.0 de FortiOS, permite a un atacante no autenticado ejecutar comandos arbitrarios en el sistema vulnerable. Este tipo de vulnerabilidad, que podría ser explotada mediante una simple petición HTTP, destaca la necesidad de que las organizaciones mantengan actualizados sus sistemas y revisen continuamente sus configuraciones de seguridad.
El impacto de esta actividad maliciosa es considerable. Las organizaciones que utilizan dispositivos FortiGate deben estar en alerta máxima, ya que la exposición de credenciales y la comprensión de la topología de la red pueden llevar a ataques mucho más devastadores, como la implementación de ransomware o la exfiltración masiva de datos. Además, el uso de estos métodos por parte de ciberdelincuentes puede resultar en compromisos de seguridad que afecten no solo a las empresas que son directamente atacadas, sino también a sus clientes y socios comerciales, generando un efecto dominó en la confianza del mercado.
Históricamente, este no es un caso aislado. La explotación de dispositivos de red ha sido una táctica común entre los atacantes a lo largo de los años. Por ejemplo, incidentes como el ataque a SolarWinds o el uso de vulnerabilidades en dispositivos de red de Cisco han demostrado que los atacantes no se detienen ante las barreras perimetrales y que, a menudo, buscan fallos en la infraestructura de seguridad que se considera crítica. Esta tendencia señala la necesidad de adoptar un enfoque más holístico hacia la ciberseguridad, donde la protección se extienda más allá de las soluciones de firewall tradicionales.
Para mitigar los riesgos asociados a esta amenaza, los expertos en ciberseguridad recomiendan varias acciones. En primer lugar, es esencial aplicar parches de seguridad de forma inmediata a los dispositivos FortiGate y asegurarse de que se están utilizando configuraciones seguras. Además, se debe fomentar una cultura de seguridad que incluya la capacitación regular de empleados en el uso de contraseñas fuertes y la implementación de autenticación multifactor (MFA) donde sea posible. Por último, se sugiere realizar auditorías de seguridad periódicas para identificar posibles vulnerabilidades antes de que puedan ser explotadas por actores maliciosos.
En conclusión, la explotación de dispositivos FortiGate por parte de ciberdelincuentes representa un desafío significativo en el ámbito de la ciberseguridad. Las organizaciones deben permanecer vigilantes y proactivas en sus esfuerzos para proteger sus redes y datos frente a estas amenazas en constante evolución.