Una exhaustiva campaña de ciberespionaje, ahora denominada
FortiBleed, ha comprometido silenciosamente más de 73.932 URL únicas de firewalls
Fortinet en 194 países.
Descubierta originalmente por el
investigador de seguridad Volodymyr «Bob» Diachenko
y analizada posteriormente por Hudson Rock, esta información revela una
operación altamente automatizada a escala industrial dirigida a dispositivos
FortiGate y gateways VPN SSL a nivel mundial, sin precedentes.
Los ciberdelincuentes ejecutaron aproximadamente 1.160 millones de intentos
de robo de credenciales contra más de 320.000 objetivos FortiGate, al tiempo
que lanzaron otros 2.100 millones de intentos de fuerza bruta contra más de
160.000 servidores MSSQL, lo que resultó en 21.632 dominios
comprometidos.
Esta campaña se atribuye a un grupo ciberdelincuente ruso-hablante con
múltiples operadores, cuya metodología va mucho más allá del simple robo de
credenciales. El grupo
rastreó sistemáticamente internet en busca de instancias Fortinet
expuestas, probándolas con vastos repositorios de filtraciones históricas de
credenciales obtenidas mediante malware de robo de información.
Una vez que se establece un punto de acceso inicial, los atacantes se dirigen
directamente a entornos internos de Active Directory, lo que permite un acceso
profundo y persistente a la red que sobrevive a las comprobaciones de
seguridad rutinarias.
Uno de los vectores técnicos más alarmantes de la campaña es la interceptación
activa de hashes de autenticación SSL VPN, que posteriormente se descifran sin
conexión mediante un clúster dedicado de 45 GPU gestionado a través de
Hashtopolis.
Esto significa que incluso las organizaciones que creen que sus credenciales
cifradas son seguras están expuestas. Una vez que se vulnera el perímetro, los
operadores monitorean el tráfico para obtener accesos adicionales, creando un
ciclo de retroalimentación positiva de acceso no autorizado.
El alcance de las víctimas confirmadas abarca prácticamente todos los sectores
de la economía global. La investigación de Diachenko confirmó la vulneración
total de las redes de organizaciones en Japón, Taiwán, Vietnam, Irak y
Turquía, incluyendo, de manera crucial, a un contratista de defensa turco de
la OTAN del cual se extrajeron con éxito documentos de defensa clasificados.
La base de datos de credenciales verificadas de los atacantes incluye algunas
de las empresas más grandes del planeta:
- Tecnología y Manufactura: Foxconn, Samsung, Siemens, Lenovo, Oracle
- Servicios Profesionales: PwC, Accenture
- Telecomunicaciones: Comcast
-
y miles de entidades gubernamentales y proveedores de infraestructura
crítica.
Quizás la conclusión más preocupante de este conjunto de datos es que la
complejidad de las contraseñas no ofrecía ninguna protección. Un volumen
significativo de contraseñas de 20 caracteres, altamente complejas, se vieron
comprometidas no mediante su descifrado desde cero, sino porque ya existían en
texto plano en bases de datos de ladrones de información previamente robadas.
Cuando las credenciales se roban en el punto final antes de que se aplique el
cifrado, ninguna complejidad las protege. Esto socava fundamentalmente la
política de «contraseñas seguras» como estrategia de defensa perimetral.
Hudson Rock lanzó un portal en línea especializado, diseñado específicamente
para que las organizaciones verifiquen fácilmente si sus dominios están
incluidos en la base de datos.
Medidas de mitigación
Las organizaciones que utilizan dispositivos Fortinet deben tratar esto como
una amenaza crítica y activa, y actuar de inmediato:
Rotación obligatoria de credenciales: Restablecer sin demora todas las
contraseñas de la VPN y la interfaz de administración de Fortinet; la
complejidad es irrelevante si las credenciales ya se han filtrado.
Implementar la autenticación multifactor universal: Aplicar la autenticación
multifactor en todas las puertas de enlace externas para neutralizar las
credenciales robadas en texto plano.
Registros de auditoría de la puerta de enlace: Revise los registros de
acceso de Fortinet para detectar ubicaciones de inicio de sesión anómalas,
sesiones de administrador inesperadas o volúmenes de tráfico inusuales.
Restricción de la exposición de la interfaz de administración: Aplique
políticas de acceso local para restringir el acceso al panel de
administración únicamente a direcciones IP internas de confianza y desactive
el inicio de sesión único (SSO) de FortiCloud si no es esencial.
La campaña FortiBleed nos recuerda que la seguridad del perímetro depende de
las credenciales que lo protegen, y en un mundo saturado de datos robados por
ciberdelincuentes, el perímetro nunca ha sido tan frágil.
Fuente:
CyberSecurityNews