Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Vulnerabilidad de día cero sospechosa en ataques a firewalls de Fortinet con interfaces expuestas
  • Tecnología

Vulnerabilidad de día cero sospechosa en ataques a firewalls de Fortinet con interfaces expuestas

teknomers 14 de Ocak de 2025 (Last updated: 14 de Ocak de 2025) 4 minutes read
Vulnerabilidad de día cero sospechosa en ataques a firewalls de


14 de enero de 2025Ravie LakshmananVulnerabilidad/Seguridad de Red

Los cazadores de amenazas están llamando la atención sobre una nueva campaña dirigida a los dispositivos firewall FortiGate de Fortinet con interfaces de administración expuestas en la Internet pública.

“La campaña implicó inicios de sesión administrativos no autorizados en interfaces de administración de firewalls, creación de nuevas cuentas, autenticación SSL VPN a través de esas cuentas y varios otros cambios de configuración”, dijo la firma de ciberseguridad Arctic Wolf. dicho en un análisis publicado la semana pasada.

Se cree que la actividad maliciosa tiene comenzó a mediados de noviembre de 2024, actores de amenazas desconocidos obtuvieron acceso no autorizado a las interfaces de administración de los firewalls afectados para alterar configuraciones y extraer credenciales utilizando Sincronización DC.

Actualmente se desconoce el vector de acceso inicial exacto, aunque se ha evaluado con “alta confianza” que probablemente se deba a la explotación de una vulnerabilidad de día cero dada la “línea de tiempo comprimida entre las organizaciones afectadas, así como las versiones de firmware afectadas”.

Ciberseguridad

Las versiones de firmware de los dispositivos afectados oscilaron entre 7.0.14 y 7.0.16, que se lanzaron en febrero y octubre de 2024 respectivamente.

Se ha observado que la campaña pasó por cuatro fases de ataque distintas que comenzaron alrededor del 16 de noviembre de 2024, lo que permitió a los malos actores avanzar desde el escaneo y el reconocimiento de vulnerabilidades hasta los cambios de configuración y el movimiento lateral.

“Lo que destaca de estas actividades en contraste con las actividades legítimas de firewall es el hecho de que hicieron un uso extensivo de la interfaz jsconsole desde un puñado de direcciones IP inusuales”, dijeron los investigadores de Arctic Wolf.

“Dadas las sutiles diferencias en el oficio y la infraestructura entre las intrusiones, es posible que varios individuos o grupos hayan estado involucrados en esta campaña, pero el uso de jsconsole fue un hilo común en todos los ámbitos”.

En pocas palabras, los ataques digitales implicaron que los atacantes iniciaran sesión en las interfaces de administración del firewall para realizar cambios de configuración, incluida la modificación del configuración de salida de “estándar” a “más”, como parte de los primeros esfuerzos de reconocimiento, antes de realizar cambios más extensos para crear nuevas cuentas de superadministrador a principios de diciembre de 2024.

Se dice que estas cuentas de superadministrador recién creadas se utilizaron posteriormente para configurar hasta seis nuevas cuentas de usuario locales por dispositivo y agregarlas a grupos existentes que habían sido creados previamente por organizaciones víctimas para acceso SSL VPN. En otros incidentes, las cuentas existentes fueron secuestradas y agregadas a grupos con acceso VPN.

“También se observó que los actores de amenazas creaban nuevos portales VPN SSL a los que agregaban cuentas de usuario directamente”, señaló Arctic Wolf. “Al realizar los cambios necesarios, los actores de amenazas establecieron túneles VPN SSL con los dispositivos afectados. Todas las direcciones IP de los clientes de los túneles se originaron en un puñado de proveedores de alojamiento VPS”.

Ciberseguridad

La campaña culminó cuando los adversarios aprovecharon el acceso VPN SSL para extraer credenciales para el movimiento lateral utilizando una técnica llamada Sincronización DC. Dicho esto, actualmente no hay visibilidad de sus objetivos finales, ya que fueron eliminados de los entornos comprometidos antes de que los ataques pudieran pasar a la siguiente etapa.

Para mitigar dichos riesgos, es esencial que las organizaciones no expongan sus interfaces de administración de firewall a Internet y limiten el acceso a usuarios confiables.

“La victimología en esta campaña no se limitó a ningún sector o tamaño de organización específico”, dijo la compañía. “La diversidad de perfiles de organizaciones de víctimas combinada con la aparición de eventos de inicio y cierre de sesión automatizados sugiere que el objetivo fue de naturaleza oportunista en lugar de ser un objetivo deliberado y metódicamente”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: 🔴 Blog en vivo: AZ juega contra Ajax en los octavos de final de la Copa KNVB, los aficionados de Ámsterdam no son bienvenidos
Next: Connie Witteman comete un error al atacar a Yvonne Coldeweijer

Related Stories

Windows 11: ¿se puede realmente eliminar el identificador GDID de
  • Tecnología

Windows 11: ¿se puede realmente eliminar el identificador GDID de su PC?

teknomers 10 de Temmuz de 2026
El nuevo REDMI Note 17 cuenta con la pantalla más
  • Tecnología

El nuevo REDMI Note 17 cuenta con la pantalla más grande de la industria

teknomers 10 de Temmuz de 2026
Antiguo jefe de la NASA: el plan de retorno a
  • Tecnología

Antiguo jefe de la NASA: el plan de retorno a la Luna tiene un defecto mayor, no hay módulo lunar

teknomers 10 de Temmuz de 2026

You May Have Missed

Windows 11: ¿se puede realmente eliminar el identificador GDID de
  • Tecnología

Windows 11: ¿se puede realmente eliminar el identificador GDID de su PC?

teknomers 10 de Temmuz de 2026
Un influencer de Toulouse acusa a una clínica privada de
  • salud

Un influencer de Toulouse acusa a una clínica privada de haberle transmitido un estafilococo y cuenta su “recorrido de luchador”

teknomers 10 de Temmuz de 2026
En el Norte, una adolescente de 17 años muere durante
  • Entretenimiento

En el Norte, una adolescente de 17 años muere durante las celebraciones de la victoria de los Bleus.

teknomers 10 de Temmuz de 2026
  • General

El magnate francés Xavier Niel se convierte en el principal accionista de Vodafone en un acuerdo de 6 mil millones de dólares

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.