Campaña FortiBleed: compromiso masivo de credenciais en dispositivos Fortinet expostos a Internet

Imaxe
Nivel de alerta
Crítico

O CCN-CERT alertou sobre unha campaña activa denominada FortiBleed, que estaría afectando a dispositivos Fortinet e FortiGate expostos a Internet, incluíndo firewalls e pasarelas VPN utilizadas por organizacións de todo o mundo.

A campaña caracterízase pola recompilación e validación masiva de credenciais asociadas a infraestruturas Fortinet accesibles desde redes públicas. Segundo a información publicada por diversas fontes de intelixencia de ameazas, os atacantes terían obtido acceso a credenciais vinculadas a decenas de miles de dispositivos, incrementando significativamente o risco de accesos non autorizados, movementos laterais e compromisos de redes corporativas.

 

Ante este escenario, o CCN-CERT recomenda ás organizacións que empreguen dispositivos Fortinet expostos a Internet adoptar unha postura preventiva, verificar de inmediato a súa posible afectación e reforzar as medidas de protección sobre os accesos administrativos e os servizos VPN.

 

A actividade observada combina a identificación automatizada de dispositivos Fortinet accesibles desde Internet co uso de credenciais comprometidas previamente, credenciais débiles ou información obtida mediante procesos de validación masiva.

 

Unha vez conseguido o acceso inicial, os atacantes poderían monitorizar tráfico, obter novas credenciais, acceder a servizos internos e realizar movementos laterais dentro das redes afectadas.

 

A diferenza doutras campañas centradas nunha vulnerabilidade concreta, FortiBleed parece apoiarse principalmente no abuso de credenciais válidas e na exposición de interfaces críticas a Internet, o que dificulta a súa detección mediante mecanismos tradicionais baseados exclusivamente en indicadores de explotación.

 

As investigacións publicadas ata o momento apuntan a unha operación de alcance global que afectaría organizacións de múltiples sectores, incluíndo administracións públicas, servizos financeiros, telecomunicacións, educación, industria, sanidade e provedores de servizos tecnolóxicos.

 

Alcance da campaña

Os datos analizados por investigadores de seguridade identifican aproximadamente:

  • 73.932 dispositivos ou URL únicas asociadas a infraestruturas Fortinet.
  • Máis de 21.600 dominios potencialmente afectados.
  • Organizacións distribuídas en 194 países.
  • Miles de credenciais administrativas e de acceso remoto verificadas.

 

España figura entre os países incluídos nos conxuntos de datos analizados, o que reforza a necesidade de revisar de forma inmediata a seguridade das infraestruturas Fortinet despregadas en organizacións públicas e privadas.

 

Aínda que as investigacións continúan en curso, diversas fontes coinciden en que os dispositivos perimetrais expostos a Internet constitúen o principal vector de risco observado durante esta campaña.

 

Recursos afectados

Identificador Produto Recursos expostos Acción prioritaria
FortiBleed Fortinet FortiGate Firewalls, SSL VPN, VPN remotas e interfaces de administración expostas a Internet Rotación inmediata de credenciais, peche de sesións activas, revisión de rexistros e reforzo da autenticación

 

Impacto potencial

A explotación de credenciais comprometidas podería permitir:

  • Acceso non autorizado a dispositivos perimetrais.
  • Compromiso de contas administrativas.
  • Acceso a servizos internos a través de VPN.
  • Modificación de configuracións de seguridade.
  • Obtención de novas credenciais.
  • Movementos laterais dentro da rede corporativa.
  • Persistencia en sistemas comprometidos.
  • Exfiltración de información sensible.
  • Preparación de futuras operacións de ransomware ou espionaxe.

Dado que os dispositivos Fortinet adoitan situarse no perímetro das organizacións, o seu compromiso pode facilitar o acceso a múltiples activos críticos internos.

 

Técnicas MITRE ATT&CK potencialmente asociadas

A actividade observada na campaña FortiBleed presenta similitudes con diversas técnicas recollidas no marco MITRE ATT&CK utilizadas habitualmente en operacións de acceso inicial, persistencia e movemento lateral:

Técnica Nome
T1078 Valid Accounts
T1110 Brute Force
T1133 External Remote Services
T1021 Remote Services
T1087 Account Discovery
T1018 Remote System Discovery
T1210 Exploitation of Remote Services
T1556 Modify Authentication Process
   

A utilización de credenciais válidas obtidas previamente ou verificadas durante a campaña permite aos atacantes acceder a dispositivos perimetrais de forma aparentemente lexítima, dificultando a súa detección mediante mecanismos tradicionais baseados en sinaturas ou indicadores de explotación.

 

Unha vez conseguido o acceso inicial, os atacantes poderían realizar tarefas de descubrimento de sistemas, enumeración de contas, acceso a servizos remotos e movementos laterais cara a outros activos internos da organización.

 

Recomendacións

O CCN-CERT recomenda adoptar de forma inmediata as seguintes medidas:

  • Rotar todas as credenciais administrativas, VPN e contas de servizo asociadas a dispositivos Fortinet.
  • Finalizar todas as sesións activas de administración e acceso remoto.
  • Implantar ou reforzar a autenticación multifactor nos accesos administrativos e VPN.
  • Restringir as interfaces de administración para que unicamente sexan accesibles desde redes de confianza ou canles dedicadas de xestión.
  • Revisar os rexistros de autenticación, VPN e firewall na procura de accesos sospeitosos.
  • Auditar cambios recentes de configuración.
  • Verificar a existencia de contas privilexiadas non autorizadas.
  • Actualizar os dispositivos a versións soportadas e aplicar as recomendacións do fabricante.
  • Revisar posibles indicadores de movemento lateral nos sistemas internos.
  • Activar os procedementos de resposta a incidentes no caso de detectar actividade anómala ou indicios de compromiso.

 

FortiBleed representa unha das campañas máis relevantes observadas recentemente contra infraestruturas de acceso remoto e dispositivos perimetrais. O volume de credenciais potencialmente comprometidas, a ampla distribución xeográfica dos sistemas afectados e a criticidade dos dispositivos implicados incrementan significativamente o risco para as organizacións que manteñen infraestruturas Fortinet expostas a Internet.

 

Ante este escenario, resulta fundamental adoptar unha postura preventiva, verificar a integridade dos dispositivos afectados, reforzar os mecanismos de autenticación e revisar os rexistros de actividade para identificar posibles accesos non autorizados. As organizacións deben considerar esta campaña como unha oportunidade para revisar a súa postura de seguridade arredor dos sistemas de acceso remoto, a xestión de credenciais privilexiadas e a protección do perímetro corporativo.

 

Referencias

  • CCN-CERT
  • CISA
  • Fortinet
  • SOCRadar
  • Hudson Rock
  • MITRE ATT&CK