O CCN-CERT alertou sobre unha campaña activa denominada FortiBleed, que estaría afectando a dispositivos Fortinet e FortiGate expostos a Internet, incluíndo firewalls e pasarelas VPN utilizadas por organizacións de todo o mundo.
A campaña caracterízase pola recompilación e validación masiva de credenciais asociadas a infraestruturas Fortinet accesibles desde redes públicas. Segundo a información publicada por diversas fontes de intelixencia de ameazas, os atacantes terían obtido acceso a credenciais vinculadas a decenas de miles de dispositivos, incrementando significativamente o risco de accesos non autorizados, movementos laterais e compromisos de redes corporativas.
Ante este escenario, o CCN-CERT recomenda ás organizacións que empreguen dispositivos Fortinet expostos a Internet adoptar unha postura preventiva, verificar de inmediato a súa posible afectación e reforzar as medidas de protección sobre os accesos administrativos e os servizos VPN.
A actividade observada combina a identificación automatizada de dispositivos Fortinet accesibles desde Internet co uso de credenciais comprometidas previamente, credenciais débiles ou información obtida mediante procesos de validación masiva.
Unha vez conseguido o acceso inicial, os atacantes poderían monitorizar tráfico, obter novas credenciais, acceder a servizos internos e realizar movementos laterais dentro das redes afectadas.
A diferenza doutras campañas centradas nunha vulnerabilidade concreta, FortiBleed parece apoiarse principalmente no abuso de credenciais válidas e na exposición de interfaces críticas a Internet, o que dificulta a súa detección mediante mecanismos tradicionais baseados exclusivamente en indicadores de explotación.
As investigacións publicadas ata o momento apuntan a unha operación de alcance global que afectaría organizacións de múltiples sectores, incluíndo administracións públicas, servizos financeiros, telecomunicacións, educación, industria, sanidade e provedores de servizos tecnolóxicos.
Alcance da campaña
Os datos analizados por investigadores de seguridade identifican aproximadamente:
- 73.932 dispositivos ou URL únicas asociadas a infraestruturas Fortinet.
- Máis de 21.600 dominios potencialmente afectados.
- Organizacións distribuídas en 194 países.
- Miles de credenciais administrativas e de acceso remoto verificadas.
España figura entre os países incluídos nos conxuntos de datos analizados, o que reforza a necesidade de revisar de forma inmediata a seguridade das infraestruturas Fortinet despregadas en organizacións públicas e privadas.
Aínda que as investigacións continúan en curso, diversas fontes coinciden en que os dispositivos perimetrais expostos a Internet constitúen o principal vector de risco observado durante esta campaña.
Recursos afectados
| Identificador | Produto | Recursos expostos | Acción prioritaria |
| FortiBleed | Fortinet FortiGate | Firewalls, SSL VPN, VPN remotas e interfaces de administración expostas a Internet | Rotación inmediata de credenciais, peche de sesións activas, revisión de rexistros e reforzo da autenticación |
Impacto potencial
A explotación de credenciais comprometidas podería permitir:
- Acceso non autorizado a dispositivos perimetrais.
- Compromiso de contas administrativas.
- Acceso a servizos internos a través de VPN.
- Modificación de configuracións de seguridade.
- Obtención de novas credenciais.
- Movementos laterais dentro da rede corporativa.
- Persistencia en sistemas comprometidos.
- Exfiltración de información sensible.
- Preparación de futuras operacións de ransomware ou espionaxe.
Dado que os dispositivos Fortinet adoitan situarse no perímetro das organizacións, o seu compromiso pode facilitar o acceso a múltiples activos críticos internos.
Técnicas MITRE ATT&CK potencialmente asociadas
A actividade observada na campaña FortiBleed presenta similitudes con diversas técnicas recollidas no marco MITRE ATT&CK utilizadas habitualmente en operacións de acceso inicial, persistencia e movemento lateral:
| Técnica | Nome |
| T1078 | Valid Accounts |
| T1110 | Brute Force |
| T1133 | External Remote Services |
| T1021 | Remote Services |
| T1087 | Account Discovery |
| T1018 | Remote System Discovery |
| T1210 | Exploitation of Remote Services |
| T1556 | Modify Authentication Process |
A utilización de credenciais válidas obtidas previamente ou verificadas durante a campaña permite aos atacantes acceder a dispositivos perimetrais de forma aparentemente lexítima, dificultando a súa detección mediante mecanismos tradicionais baseados en sinaturas ou indicadores de explotación.
Unha vez conseguido o acceso inicial, os atacantes poderían realizar tarefas de descubrimento de sistemas, enumeración de contas, acceso a servizos remotos e movementos laterais cara a outros activos internos da organización.
Recomendacións
O CCN-CERT recomenda adoptar de forma inmediata as seguintes medidas:
- Rotar todas as credenciais administrativas, VPN e contas de servizo asociadas a dispositivos Fortinet.
- Finalizar todas as sesións activas de administración e acceso remoto.
- Implantar ou reforzar a autenticación multifactor nos accesos administrativos e VPN.
- Restringir as interfaces de administración para que unicamente sexan accesibles desde redes de confianza ou canles dedicadas de xestión.
- Revisar os rexistros de autenticación, VPN e firewall na procura de accesos sospeitosos.
- Auditar cambios recentes de configuración.
- Verificar a existencia de contas privilexiadas non autorizadas.
- Actualizar os dispositivos a versións soportadas e aplicar as recomendacións do fabricante.
- Revisar posibles indicadores de movemento lateral nos sistemas internos.
- Activar os procedementos de resposta a incidentes no caso de detectar actividade anómala ou indicios de compromiso.
FortiBleed representa unha das campañas máis relevantes observadas recentemente contra infraestruturas de acceso remoto e dispositivos perimetrais. O volume de credenciais potencialmente comprometidas, a ampla distribución xeográfica dos sistemas afectados e a criticidade dos dispositivos implicados incrementan significativamente o risco para as organizacións que manteñen infraestruturas Fortinet expostas a Internet.
Ante este escenario, resulta fundamental adoptar unha postura preventiva, verificar a integridade dos dispositivos afectados, reforzar os mecanismos de autenticación e revisar os rexistros de actividade para identificar posibles accesos non autorizados. As organizacións deben considerar esta campaña como unha oportunidade para revisar a súa postura de seguridade arredor dos sistemas de acceso remoto, a xestión de credenciais privilexiadas e a protección do perímetro corporativo.
Referencias
- CCN-CERT
- CISA
- Fortinet
- SOCRadar
- Hudson Rock
- MITRE ATT&CK