{"id":1665754,"date":"2025-04-11T19:25:53","date_gmt":"2025-04-11T19:25:53","guid":{"rendered":"https:\/\/teknomers.com\/es\/fortinet-advierte-a-los-atacantes-retener-el-acceso-a-fortigate-despues-del-parche-a-traves-de-ssl-vpn-symlink-exploit\/"},"modified":"2025-04-11T19:25:57","modified_gmt":"2025-04-11T19:25:57","slug":"fortinet-advierte-a-los-atacantes-retener-el-acceso-a-fortigate-despues-del-parche-a-traves-de-ssl-vpn-symlink-exploit","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fortinet-advierte-a-los-atacantes-retener-el-acceso-a-fortigate-despues-del-parche-a-traves-de-ssl-vpn-symlink-exploit\/","title":{"rendered":"Fortinet advierte a los atacantes retener el acceso a FortiGate despu\u00e9s del parche a trav\u00e9s de SSL-VPN Symlink Exploit"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de abril de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad \/ vulnerabilidad de la red<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Fortinet-advierte-a-los-atacantes-retener-el-acceso-a-FortiGate.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Fortinet ha revelado que los actores de amenaza han encontrado una manera de mantener el acceso de solo lectura a dispositivos FortiGate vulnerables incluso despu\u00e9s de que el vector de acceso inicial utilizado para violar los dispositivos fue parcheado.<\/p>\n<p>Se cree que los atacantes apalancaron fallas de seguridad conocidas y ahora paradas, incluidas, entre otros, CVE-2022-42475, CVE-2023-27997 y CVE-2024-21762.<\/p>\n<p>&#8220;Un actor de amenaza utiliz\u00f3 una vulnerabilidad conocida para implementar el acceso de solo lectura a dispositivos FortiGate vulnerables&#8221;, la compa\u00f1\u00eda de seguridad de la red <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/blog\/psirt-blogs\/analysis-of-threat-actor-activity\" target=\"_blank\">dicho<\/a> en un aviso publicado el jueves. &#8220;Esto se logr\u00f3 mediante la creaci\u00f3n de un enlace simb\u00f3lico que conecta el sistema de archivos de usuario y el sistema de archivos ra\u00edz en una carpeta utilizada para servir archivos de idioma para el SSL-VPN&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Fortinet dijo que las modificaciones tuvieron lugar en el sistema de archivos de usuario y lograron evadir la detecci\u00f3n, lo que provoc\u00f3 que el enlace simb\u00f3lico (tambi\u00e9n conocido como enlace simb\u00f3lico) se quedara atr\u00e1s incluso despu\u00e9s de que los agujeros de seguridad responsables del acceso inicial se conectaron.<\/p>\n<p>Esto, a su vez, permiti\u00f3 a los actores de amenaza para mantener el acceso de solo lectura a los archivos en el sistema de archivos del dispositivo, incluidas las configuraciones. Sin embargo, los clientes que nunca han habilitado SSL-VPN no se ven afectados por el problema.<\/p>\n<p>No est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de la actividad, pero Fortinet dijo que su investigaci\u00f3n indic\u00f3 que no estaba dirigida a ninguna regi\u00f3n o industria espec\u00edfica. Tambi\u00e9n dijo que notific\u00f3 directamente a los clientes que se vieron afectados por el problema.<\/p>\n<p>A medida que otras mitigaciones para evitar que ocurran tales problemas nuevamente, se han implementado una serie de actualizaciones de software a Fortios.<\/p>\n<ul>\n<li>Fortios 7.4, 7.2, 7.0, 6.4 &#8211; El enlace simb\u00f3lico fue marcado como malicioso para que el motor antivirus lo elimine autom\u00e1ticamente<\/li>\n<li>Fortios 7.6.2, 7.4.7, 7.2.11 y 7.0.17, 6.4.16 &#8211; Se elimin\u00f3 el enlace simb\u00f3lico y la interfaz de usuario SSL -VPN se ha modificado para evitar la entrega de tales enlaces simb\u00f3licos maliciosos<\/li>\n<\/ul>\n<p>Se aconseja a los clientes que actualicen sus instancias a las versiones de Fortios 7.6.2, 7.4.7, 7.2.11 y 7.0.17 o 6.4.16, revisen las configuraciones del dispositivo y traten todas las configuraciones como potencialmente comprometidas y realizan un rendimiento <a rel=\"noopener nofollow\" href=\"https:\/\/community.fortinet.com\/t5\/FortiGate\/Technical-Tip-Recommended-steps-to-execute-in-case-of-a\/ta-p\/230694\" target=\"_blank\">Pasos de recuperaci\u00f3n apropiados<\/a>.<\/p>\n<p>La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) tiene <a rel=\"noopener nofollow\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/04\/11\/fortinet-releases-advisory-new-post-exploitation-technique-known-vulnerabilities\" target=\"_blank\">emitido<\/a> Un aviso propio, instando a los usuarios a restablecer credenciales expuestas y considerar deshabilitar la funcionalidad SSL-VPN hasta que se puedan aplicar los parches. El equipo de respuesta a emergencias de la computadora de Francia (CERT-FR), en un bolet\u00edn similar, <a rel=\"noopener nofollow\" href=\"https:\/\/www.cert.ssi.gouv.fr\/alerte\/CERTFR-2025-ALE-004\/\" target=\"_blank\">dicho<\/a> Es consciente de los compromisos que datan hasta principios de 2023.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En un comunicado compartido con The Hacker News, el CEO de WatchTowr, Benjamin Harris, dijo que el incidente es una preocupaci\u00f3n por dos razones importantes.<\/p>\n<p>&#8220;Primero, en la explotaci\u00f3n salvaje se est\u00e1 volviendo significativamente m\u00e1s r\u00e1pida de lo que las organizaciones pueden parchear&#8221;, dijo Harris. &#8220;M\u00e1s importante a\u00fan, los atacantes son muy conscientes de este hecho&#8221;.<\/p>\n<p>&#8220;En segundo lugar, y m\u00e1s aterrador, hemos visto, en numerosas ocasiones, los atacantes desplegaron capacidades y traseros despu\u00e9s de una r\u00e1pida explotaci\u00f3n dise\u00f1ada para sobrevivir a los procesos de parcheo, actualizaci\u00f3n y restablecimiento de f\u00e1brica que las organizaciones han confiado para mitigar estas situaciones para mantener la persistencia y el acceso a las organizaciones comprometidas&#8221;.<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? Seguirnos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/fortinet-warns-attackers-retain.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de abril de 2025\ue804Ravie LakshmananSeguridad \/ vulnerabilidad de la red Fortinet ha revelado que los actores de<\/p>\n","protected":false},"author":1,"featured_media":1665755,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,6088,18041,4661,4664,38,755,23323,115387,87102,273784,36,273783,4654,273782,4659,4653,4655,19938,27734,246983,4665,246984,64827,295465,116,455,239484],"class_list":["post-1665754","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierte","tag-atacantes","tag-ataques-ciberneticos","tag-como-hackear","tag-del","tag-despues","tag-exploit","tag-fortigate","tag-fortinet","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-parche","tag-retener","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sslvpn","tag-symlink","tag-traves","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1665754","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1665754"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1665754\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1665755"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1665754"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1665754"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1665754"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}