Los firewalls FortiGate de Fortinet están bajo ataque por explotar una vulnerabilidad de día cero

 

Fortinet FortiGate Firewalls

La firma de ciberseguridad Arctic Wolf ha revelado detalles de una campaña cibernética en curso dirigida a los dispositivos de firewall Fortinet FortiGate con interfaces de administración expuestas en la Internet pública.

Los dispositivos FortiGate NGFW incluyen una función estándar que permite a los administradores acceder a la interfaz de línea de comandos a través de la interfaz de administración basada en la web, lo que proporciona una administración conveniente.

Los actores de amenazas están explotando lo que se sospecha firmemente que es una vulnerabilidad de día cero, que permite el acceso administrativo no autorizado para modificar las configuraciones del firewall, extraer credenciales y moverse lateralmente dentro de entornos comprometidos.

Si bien aún no se ha confirmado el alcance total de la vulnerabilidad, Arctic Wolf insta a las organizaciones que utilizan firewalls FortiGate a deshabilitar inmediatamente el acceso a la interfaz de administración pública y tomar medidas de seguridad adicionales para mitigar los riesgos potenciales.

"La campaña involucró inicios de sesión administrativos no autorizados en las interfaces de administración de firewalls, creación de nuevas cuentas, autenticación SSL VPN a través de esas cuentas y varios otros cambios de configuración".

El ataque parecía oportunista, no dirigido a ninguna industria u organización específica. Explotó principalmente vulnerabilidades en dispositivos FortiGate con las versiones de firmware 7.0.14 a 7.0.16, lanzadas entre febrero y octubre de 2024.

Para ocultar su actividad en la interfaz de línea de comandos de jsconsole, los atacantes utilizaron direcciones IP falsificadas, incluidas direcciones de bucle invertido (por ejemplo, 127.0.0.1) y resolutores de DNS conocidos (por ejemplo, 8.8.8.8).

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free

Observación de ataques

La campaña de ataque, observada por Arctic Wolf Labs entre noviembre de 2024 y diciembre de 2024, implicó una progresión gradual de la actividad maliciosa:

Entre el 16 de noviembre y el 27 de diciembre de 2024, los actores de amenazas ejecutaron un ataque multifásico dirigido a dispositivos FortiGate vulnerables.

Durante la Fase 1 (del 16 al 23 de noviembre), llevaron a cabo análisis de vulnerabilidades, explotando la interfaz de línea de comandos de jsconsole y, a menudo, utilizando direcciones IP inusuales o falsificadas, como direcciones de bucle invertido (por ejemplo, 127.0.0.1) o resolutores de DNS públicos (por ejemplo, 8.8.8.8).

En la fase 2 (del 22 al 27 de noviembre), los atacantes realizaron un reconocimiento realizando cambios iniciales en la configuración para probar si habían obtenido con éxito privilegios administrativos.

La fase 3 (del 4 al 7 de diciembre) implicó la configuración del acceso SSL VPN, durante la cual los atacantes crearon nuevas cuentas de superadministrador o secuestraron las existentes para infiltrarse aún más en las redes. También modificaron la configuración del portal VPN o explotaron las cuentas de "invitado" predeterminadas para el control.

Por último, en la fase 4 (del 16 al 27 de diciembre), aprovechando el acceso administrativo, los atacantes utilizaron la técnica DCSync para extraer credenciales aprovechando la replicación de dominios, lo que permitió un acceso más profundo a la información confidencial de la cuenta.

Corrección y mejores prácticas

Arctic Wolf enfatiza la importancia crítica de proteger las interfaces de administración y limitar el acceso solo a usuarios internos de confianza. Las recomendaciones clave incluyen:

  1. Deshabilite el acceso inmediato a la interfaz de administración pública: asegúrese de que las interfaces de administración de firewall sean inaccesibles desde la Internet pública.
  2. Actualice el firmware con regularidad: aplique parches a los dispositivos a la última versión estable para protegerlos contra vulnerabilidades conocidas.
  3. Supervise la actividad anómala: busque comportamientos de inicio de sesión inusuales, como varios inicios de sesión de administrador de corta duración o el uso de direcciones IP de bucle invertido.
  4. Utilice la autenticación multifactor (MFA): refuerce la seguridad de inicio de sesión para el acceso administrativo.
  5. Realice la búsqueda de amenazas: investigue si hay signos de actividad maliciosa, incluidos cambios de configuración no autorizados o configuraciones de cuentas SSL VPN.

Arctic Wolf también ha integrado las detecciones para esta campaña en su plataforma de Detección y Respuesta Gestionadas (MDR) para mejorar la protección de los clientes.

El 12 de diciembre de 2024, Arctic Wolf informó de las actividades observadas a Fortinet, cuyo equipo interno de PSIRT confirmó el conocimiento de la campaña el 17 de diciembre de 2024. Fortinet está investigando activamente el problema.

 Fuente: Cyberseguritynews

Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de...
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños...
Leer más

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos

Imagen
4.5 / 5 ( 6 votos ) El mapa de riesgos, el mapa de calor y la matriz de riesgos son herramientas útiles en Risk Management. Si bien, en ocasiones los profesionales en Risk Management confunden estos conceptos y lo tratan como si fueran una única herramienta. En este artículo vamos a aclarar las principales diferencias y similitudes entre mapa de calor y matriz de riesgos, así como con mapa de riesgos. ¿Qué son los mapas de riesgos? Un mapa de riesgos es una tabla de 2×2, normalmente una tabla cruzada, que se organiza en columnas. En la primera se colocan los posibles eventos que pueden aportar incertidumbre al objetivo de la empresa u organización. Y, en las siguientes columnas, se colocarán las probabilidades, consecuencias o variables que puedan explicar dichos eventos. Por lo tanto, esta tabla viene a considerarse un mapa de riesgos. ...
Leer más