Vulnerabilidad de Día Cero Apunta a Cortafuegos Fortinet FortiGate

La firma de ciberseguridad Arctic Wolf divulgó el viernes que actores de amenazas recientemente apuntaron a dispositivos cortafuegos Fortinet FortiGate con interfaces de gestión expuestas en Internet público en una sospechosa campaña de día cero.

Según los investigadores de Arctic Wolf Labs, la actividad maliciosa contra los cortafuegos Fortinet comenzó a mediados de noviembre de 2024. Actores de amenazas desconocidos alteraron las configuraciones de los cortafuegos accediendo a las interfaces de gestión en los cortafuegos afectados y extrajeron credenciales utilizando DCSync en entornos comprometidos.

“La campaña involucró inicios de sesión administrativos no autorizados en las interfaces de gestión de los cortafuegos, creación de nuevas cuentas, autenticación SSL VPN a través de esas cuentas y varios otros cambios de configuración”, escribieron los investigadores de seguridad de Arctic Wolf en una publicación de blog publicada la semana pasada.

Si bien el vector de acceso inicial utilizado en esta campaña actualmente sigue siendo desconocido, Arctic Wolf Labs tiene una alta confianza en que una “campaña de explotación masiva” de una vulnerabilidad de día cero es probable, considerando los plazos restringidos en las organizaciones afectadas y la variedad de versiones de firmware afectadas.

Las versiones de firmware que van desde 7.0.14 hasta 7.0.16 fueron predominantemente afectadas, las cuales fueron lanzadas en febrero de 2024 y octubre de 2024 respectivamente.

Arctic Wolf Labs ha identificado actualmente cuatro fases de ataque separadas de la campaña que apuntaron a dispositivos FortiGate vulnerables entre noviembre de 2024 y diciembre de 2024:

Fase 1: Escaneo de vulnerabilidades (16 de noviembre de 2024 a 23 de noviembre de 2024)

Fase 2: Reconocimiento (22 de noviembre de 2024 a 27 de noviembre de 2024)

Fase 3: Configuración de SSL VPN (4 de diciembre de 2024 a 7 de diciembre de 2024)

Fase 4: Movimiento Lateral (16 de diciembre de 2024 a 27 de diciembre de 2024)

En la primera fase, los actores de amenazas realizaron escaneos de vulnerabilidades y utilizaron sesiones de jsconsole con conexiones hacia y desde direcciones IP inusuales, como direcciones de loopback (por ejemplo, 127.0.0.1) y resolutores DNS populares, incluyendo Google Public DNS y Cloudflare, convirtiéndolos en un objetivo ideal para la caza de amenazas.

En la fase de reconocimiento, los atacantes realizaron los primeros cambios de configuración no autorizados en varias organizaciones víctimas para verificar si habían obtenido acceso exitoso para realizar cambios en los cortafuegos explotados.

Durante la tercera fase de la campaña, los actores de amenazas realizaron cambios sustanciales en los dispositivos comprometidos para establecer acceso SSL VPN.

En algunas intrusiones, crearon nuevas cuentas de superadministrador, mientras que en otras, secuestraron cuentas existentes para obtener acceso SSL VPN. Los actores de amenazas también crearon nuevos portales SSL VPN donde las cuentas de usuario fueron añadidas directamente.

En la última fase, después de obtener exitosamente acceso SSL VPN dentro del entorno de la organización víctima, los actores de amenazas utilizaron la técnica DCSync para extraer credenciales para el movimiento lateral.

Según la empresa de ciberseguridad, los actores de amenazas han sido eliminados de los sistemas afectados antes de que pudieran proceder.

Artic Wolf Labs notificó a Fortinet sobre la actividad observada en esta campaña el 12 de diciembre de 2024. FortiGuard Labs PSIRT confirmó el 17 de diciembre de 2024 que está al tanto de la actividad conocida y está investigando activamente el problema.

Para protegerse contra tales problemas de seguridad conocidos, Artic Wolf Labs recomienda que las organizaciones deshabiliten inmediatamente su acceso de gestión de cortafuegos en interfaces públicas y limiten el acceso a usuarios de confianza.

También aconseja actualizar regularmente el firmware de los dispositivos cortafuegos a la última versión para protegerse contra vulnerabilidades conocidas.