Los cazadores de amenazas están llamando la atención sobre una nueva campaña dirigida a los dispositivos firewall FortiGate de Fortinet con interfaces de administración expuestas en la Internet pública.
“La campaña implicó inicios de sesión administrativos no autorizados en interfaces de administración de firewalls, creación de nuevas cuentas, autenticación SSL VPN a través de esas cuentas y varios otros cambios de configuración”, dijo la firma de ciberseguridad Arctic Wolf. dicho en un análisis publicado la semana pasada.
Se cree que la actividad maliciosa tiene comenzó a mediados de noviembre de 2024, actores de amenazas desconocidos obtuvieron acceso no autorizado a las interfaces de administración de los firewalls afectados para alterar configuraciones y extraer credenciales utilizando Sincronización DC.
Actualmente se desconoce el vector de acceso inicial exacto, aunque se ha evaluado con “alta confianza” que probablemente se deba a la explotación de una vulnerabilidad de día cero dada la “línea de tiempo comprimida entre las organizaciones afectadas, así como las versiones de firmware afectadas”.
Las versiones de firmware de los dispositivos afectados oscilaron entre 7.0.14 y 7.0.16, que se lanzaron en febrero y octubre de 2024 respectivamente.
Se ha observado que la campaña pasó por cuatro fases de ataque distintas que comenzaron alrededor del 16 de noviembre de 2024, lo que permitió a los malos actores avanzar desde el escaneo y el reconocimiento de vulnerabilidades hasta los cambios de configuración y el movimiento lateral.
“Lo que destaca de estas actividades en contraste con las actividades legítimas de firewall es el hecho de que hicieron un uso extensivo de la interfaz jsconsole desde un puñado de direcciones IP inusuales”, dijeron los investigadores de Arctic Wolf.
“Dadas las sutiles diferencias en el oficio y la infraestructura entre las intrusiones, es posible que varios individuos o grupos hayan estado involucrados en esta campaña, pero el uso de jsconsole fue un hilo común en todos los ámbitos”.
En pocas palabras, los ataques digitales implicaron que los atacantes iniciaran sesión en las interfaces de administración del firewall para realizar cambios de configuración, incluida la modificación del configuración de salida de “estándar” a “más”, como parte de los primeros esfuerzos de reconocimiento, antes de realizar cambios más extensos para crear nuevas cuentas de superadministrador a principios de diciembre de 2024.
Se dice que estas cuentas de superadministrador recién creadas se utilizaron posteriormente para configurar hasta seis nuevas cuentas de usuario locales por dispositivo y agregarlas a grupos existentes que habían sido creados previamente por organizaciones víctimas para acceso SSL VPN. En otros incidentes, las cuentas existentes fueron secuestradas y agregadas a grupos con acceso VPN.
“También se observó que los actores de amenazas creaban nuevos portales VPN SSL a los que agregaban cuentas de usuario directamente”, señaló Arctic Wolf. “Al realizar los cambios necesarios, los actores de amenazas establecieron túneles VPN SSL con los dispositivos afectados. Todas las direcciones IP de los clientes de los túneles se originaron en un puñado de proveedores de alojamiento VPS”.
La campaña culminó cuando los adversarios aprovecharon el acceso VPN SSL para extraer credenciales para el movimiento lateral utilizando una técnica llamada Sincronización DC. Dicho esto, actualmente no hay visibilidad de sus objetivos finales, ya que fueron eliminados de los entornos comprometidos antes de que los ataques pudieran pasar a la siguiente etapa.
Para mitigar dichos riesgos, es esencial que las organizaciones no expongan sus interfaces de administración de firewall a Internet y limiten el acceso a usuarios confiables.
“La victimología en esta campaña no se limitó a ningún sector o tamaño de organización específico”, dijo la compañía. “La diversidad de perfiles de organizaciones de víctimas combinada con la aparición de eventos de inicio y cierre de sesión automatizados sugiere que el objetivo fue de naturaleza oportunista en lugar de ser un objetivo deliberado y metódicamente”.
About the Author
