Campaña FortiBleed: compromiso masivo de credenciales en dispositivos Fortinet expuestos a Internet

Imagen
Nivel de alerta
Crítico

El CCN-CERT ha alertado sobre una campaña activa denominada FortiBleed, que estaría afectando a dispositivos Fortinet y FortiGate expuestos a Internet, incluyendo firewalls y pasarelas VPN utilizadas por organizaciones de todo el mundo.

La campaña se caracteriza por la recopilación y validación masiva de credenciales asociadas a infraestructuras Fortinet accesibles desde redes públicas. Según la información publicada por diversas fuentes de inteligencia de amenazas, los atacantes habrían obtenido acceso a credenciales vinculadas a decenas de miles de dispositivos, incrementando significativamente el riesgo de accesos no autorizados, movimientos laterales y compromisos de redes corporativas.

 

Ante este escenario, el CCN-CERT recomienda a las organizaciones que utilicen dispositivos Fortinet expuestos a Internet asumir una postura preventiva, verificar de inmediato su posible afectación y reforzar las medidas de protección sobre los accesos administrativos y servicios VPN.

 

La actividad observada combina la identificación automatizada de dispositivos Fortinet accesibles desde Internet con el uso de credenciales comprometidas previamente, credenciales débiles o información obtenida mediante procesos de validación masiva.

 

Una vez conseguido el acceso inicial, los atacantes podrían monitorizar tráfico, obtener nuevas credenciales, acceder a servicios internos y realizar movimientos laterales dentro de las redes afectadas.

 

A diferencia de campañas centradas en una vulnerabilidad concreta, FortiBleed parece apoyarse principalmente en el abuso de credenciales válidas y en la exposición de interfaces críticas a Internet, lo que dificulta su detección mediante mecanismos tradicionales basados exclusivamente en indicadores de explotación.

 

Las investigaciones publicadas hasta el momento apuntan a una operación de alcance global que habría afectado a organizaciones de múltiples sectores, incluyendo administraciones públicas, servicios financieros, telecomunicaciones, educación, industria, sanidad y proveedores de servicios tecnológicos.

 

Alcance de la campaña

Los datos analizados por investigadores de seguridad identifican aproximadamente:

  • 73.932 dispositivos o URL únicas asociadas a infraestructuras Fortinet.
  • Más de 21.600 dominios potencialmente afectados.
  • Organizaciones distribuidas en 194 países.
  • Miles de credenciales administrativas y de acceso remoto verificadas.
  •  

España figura entre los países incluidos en los conjuntos de datos analizados, lo que refuerza la necesidad de revisar de forma inmediata la seguridad de las infraestructuras Fortinet desplegadas en organizaciones públicas y privadas.

 

Aunque las investigaciones continúan en curso, diversas fuentes coinciden en que los dispositivos de perímetro expuestos a Internet constituyen el principal vector de riesgo observado durante esta campaña.

 

Recursos afectados

Identificador Producto Recursos expuestos Acción prioritaria
FortiBleed Fortinet FortiGate Firewalls, SSL VPN, VPN remotas e interfaces de administración expuestas a Internet Rotación inmediata de credenciales, cierre de sesiones activas, revisión de registros y refuerzo de la autenticación

 

Impacto potencial

La explotación de credenciales comprometidas podría permitir:

  • Acceso no autorizado a dispositivos perimetrales.
  • Compromiso de cuentas administrativas.
  • Acceso a servicios internos a través de VPN.
  • Alteración de configuraciones de seguridad.
  • Obtención de nuevas credenciales.
  • Movimientos laterales dentro de la red corporativa.
  • Persistencia en sistemas comprometidos.
  • Exfiltración de información sensible.
  • Preparación de futuras operaciones de ransomware o espionaje.

Dado que los dispositivos Fortinet suelen situarse en el perímetro de las organizaciones, su compromiso puede facilitar el acceso a múltiples activos críticos internos.

 

Técnicas MITRE ATT&CK potencialmente asociadas

La actividad observada en la campaña FortiBleed presenta similitudes con diversas técnicas recogidas en el marco MITRE ATT&CK utilizadas habitualmente en operaciones de acceso inicial, persistencia y movimiento lateral:

Técnica Nombre
T1078 Valid Accounts
T1110 Brute Force
T1133 External Remote Services
T1021 Remote Services
T1087 Account Discovery
T1018 Remote System Discovery
T1210 Exploitation of Remote Services
T1556 Modify Authentication Process
   

La utilización de credenciales válidas obtenidas previamente o verificadas durante la campaña permite a los atacantes acceder a dispositivos perimetrales de forma aparentemente legítima, dificultando su detección mediante mecanismos tradicionales basados en firmas o indicadores de explotación.

 

Una vez conseguido el acceso inicial, los atacantes podrían realizar tareas de descubrimiento de sistemas, enumeración de cuentas, acceso a servicios remotos y movimientos laterales hacia otros activos internos de la organización.

 

Recomendaciones

El CCN-CERT recomienda adoptar de forma inmediata las siguientes medidas:

  • Rotar todas las credenciales administrativas, VPN y cuentas de servicio asociadas a dispositivos Fortinet.
  • Finalizar todas las sesiones activas de administración y acceso remoto.
  • Implantar o reforzar la autenticación multifactor en accesos administrativos y VPN.
  • Restringir las interfaces de administración para que únicamente sean accesibles desde redes de confianza o canales dedicados de gestión.
  • Revisar registros de autenticación, VPN y firewall en busca de accesos sospechosos.
  • Auditar cambios recientes de configuración.
  • Verificar la existencia de cuentas privilegiadas no autorizadas.
  • Actualizar los dispositivos a versiones soportadas y aplicar las recomendaciones del fabricante.
  • Revisar posibles indicadores de movimiento lateral en sistemas internos.
  • Activar los procedimientos de respuesta a incidentes en caso de detectar actividad anómala o indicios de compromiso.

 

FortiBleed representa una de las campañas más relevantes observadas recientemente contra infraestructuras de acceso remoto y dispositivos perimetrales. El volumen de credenciales potencialmente comprometidas, la amplia distribución geográfica de los sistemas afectados y la criticidad de los dispositivos implicados incrementan significativamente el riesgo para organizaciones que mantienen infraestructuras Fortinet expuestas a Internet.

 

Ante este escenario, resulta fundamental asumir una postura preventiva, verificar la integridad de los dispositivos afectados, reforzar los mecanismos de autenticación y revisar los registros de actividad para identificar posibles accesos no autorizados. Las organizaciones deben considerar esta campaña como una oportunidad para revisar su postura de seguridad en torno a los sistemas de acceso remoto, la gestión de credenciales privilegiadas y la protección del perímetro corporativo.

 

Referencias

  • CCN-CERT
  • CISA
  • Fortinet
  • SOCRadar
  • Hudson Rock
  • MITRE ATT&CK