{"id":1531604,"date":"2025-01-14T15:01:49","date_gmt":"2025-01-14T15:01:49","guid":{"rendered":"https:\/\/teknomers.com\/es\/vulnerabilidad-de-dia-cero-sospechosa-en-ataques-a-firewalls-de-fortinet-con-interfaces-expuestas\/"},"modified":"2025-01-14T15:01:53","modified_gmt":"2025-01-14T15:01:53","slug":"vulnerabilidad-de-dia-cero-sospechosa-en-ataques-a-firewalls-de-fortinet-con-interfaces-expuestas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/vulnerabilidad-de-dia-cero-sospechosa-en-ataques-a-firewalls-de-fortinet-con-interfaces-expuestas\/","title":{"rendered":"Vulnerabilidad de d\u00eda cero sospechosa en ataques a firewalls de Fortinet con interfaces expuestas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>14 de enero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad\/Seguridad de Red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los cazadores de amenazas est\u00e1n llamando la atenci\u00f3n sobre una nueva campa\u00f1a dirigida a los dispositivos firewall FortiGate de Fortinet con interfaces de administraci\u00f3n expuestas en la Internet p\u00fablica.<\/p>\n

“La campa\u00f1a implic\u00f3 inicios de sesi\u00f3n administrativos no autorizados en interfaces de administraci\u00f3n de firewalls, creaci\u00f3n de nuevas cuentas, autenticaci\u00f3n SSL VPN a trav\u00e9s de esas cuentas y varios otros cambios de configuraci\u00f3n”, dijo la firma de ciberseguridad Arctic Wolf. dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n

Se cree que la actividad maliciosa tiene comenz\u00f3<\/a> a mediados de noviembre de 2024, actores de amenazas desconocidos obtuvieron acceso no autorizado a las interfaces de administraci\u00f3n de los firewalls afectados para alterar configuraciones y extraer credenciales utilizando Sincronizaci\u00f3n DC<\/a>.<\/p>\n

Actualmente se desconoce el vector de acceso inicial exacto, aunque se ha evaluado con “alta confianza” que probablemente se deba a la explotaci\u00f3n de una vulnerabilidad de d\u00eda cero dada la “l\u00ednea de tiempo comprimida entre las organizaciones afectadas, as\u00ed como las versiones de firmware afectadas”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Las versiones de firmware de los dispositivos afectados oscilaron entre 7.0.14 y 7.0.16, que se lanzaron en febrero y octubre de 2024 respectivamente.<\/p>\n

Se ha observado que la campa\u00f1a pas\u00f3 por cuatro fases de ataque distintas que comenzaron alrededor del 16 de noviembre de 2024, lo que permiti\u00f3 a los malos actores avanzar desde el escaneo y el reconocimiento de vulnerabilidades hasta los cambios de configuraci\u00f3n y el movimiento lateral.<\/p>\n

“Lo que destaca de estas actividades en contraste con las actividades leg\u00edtimas de firewall es el hecho de que hicieron un uso extensivo de la interfaz jsconsole desde un pu\u00f1ado de direcciones IP inusuales”, dijeron los investigadores de Arctic Wolf.<\/p>\n

“Dadas las sutiles diferencias en el oficio y la infraestructura entre las intrusiones, es posible que varios individuos o grupos hayan estado involucrados en esta campa\u00f1a, pero el uso de jsconsole fue un hilo com\u00fan en todos los \u00e1mbitos”.<\/p>\n

\"\"<\/a><\/div>\n

En pocas palabras, los ataques digitales implicaron que los atacantes iniciaran sesi\u00f3n en las interfaces de administraci\u00f3n del firewall para realizar cambios de configuraci\u00f3n, incluida la modificaci\u00f3n del configuraci\u00f3n de salida<\/a> de “est\u00e1ndar” a “m\u00e1s”, como parte de los primeros esfuerzos de reconocimiento, antes de realizar cambios m\u00e1s extensos para crear nuevas cuentas de superadministrador a principios de diciembre de 2024.<\/p>\n

Se dice que estas cuentas de superadministrador reci\u00e9n creadas se utilizaron posteriormente para configurar hasta seis nuevas cuentas de usuario locales por dispositivo y agregarlas a grupos existentes que hab\u00edan sido creados previamente por organizaciones v\u00edctimas para acceso SSL VPN. En otros incidentes, las cuentas existentes fueron secuestradas y agregadas a grupos con acceso VPN.<\/p>\n

“Tambi\u00e9n se observ\u00f3 que los actores de amenazas creaban nuevos portales VPN SSL a los que agregaban cuentas de usuario directamente”, se\u00f1al\u00f3 Arctic Wolf. “Al realizar los cambios necesarios, los actores de amenazas establecieron t\u00faneles VPN SSL con los dispositivos afectados. Todas las direcciones IP de los clientes de los t\u00faneles se originaron en un pu\u00f1ado de proveedores de alojamiento VPS”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La campa\u00f1a culmin\u00f3 cuando los adversarios aprovecharon el acceso VPN SSL para extraer credenciales para el movimiento lateral utilizando una t\u00e9cnica llamada Sincronizaci\u00f3n DC<\/a>. Dicho esto, actualmente no hay visibilidad de sus objetivos finales, ya que fueron eliminados de los entornos comprometidos antes de que los ataques pudieran pasar a la siguiente etapa.<\/p>\n

Para mitigar dichos riesgos, es esencial que las organizaciones no expongan sus interfaces de administraci\u00f3n de firewall a Internet y limiten el acceso a usuarios confiables.<\/p>\n

“La victimolog\u00eda en esta campa\u00f1a no se limit\u00f3 a ning\u00fan sector o tama\u00f1o de organizaci\u00f3n espec\u00edfico”, dijo la compa\u00f1\u00eda. “La diversidad de perfiles de organizaciones de v\u00edctimas combinada con la aparici\u00f3n de eventos de inicio y cierre de sesi\u00f3n automatizados sugiere que el objetivo fue de naturaleza oportunista en lugar de ser un objetivo deliberado y met\u00f3dicamente”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n