Los hackers toman el control total de 15 000 dispositivos FortiGate

El 15 de enero, el investigador de seguridad Kevin Beaumont informó sobre la filtración de archivos de configuración y datos VPN de 15 000 dispositivos FortiGate. Los datos, que incluyen nombres de usuario, contraseñas (algunas en texto plano), certificados de gestión de dispositivos y reglas de configuración del cortafuegos, fueron publicados en la darknet.

Según un informe de la empresa CloudSEK, detrás de la filtración está un nuevo grupo de hackers llamado Belsen Group. Los dispositivos afectados funcionan principalmente con las versiones FortiOS 7.0.x y 7.2.x. CloudSEK y Beaumont concluyeron que la filtración está relacionada con la explotación de una vulnerabilidad Zero-Day CVE-2022-40684 (con puntaje CVSS: 9.8), detectada en 2022. Este fallo permitía a los hackers eludir la autenticación mediante solicitudes HTTP o HTTPS especialmente diseñadas.

El grupo Belsen Group ha estado activo en el ámbito del cibercrimen durante varios años. Según CloudSEK, es posible que el grupo haya estado explotando esta vulnerabilidad desde 2022. La mayoría de los datos fueron recopilados en octubre de 2022, cuando la vulnerabilidad aún no había sido clasificada. Geográficamente, la filtración afectó a EE. UU., Reino Unido, Polonia y Bélgica, donde más de 20 organizaciones resultaron comprometidas. Francia, España, Malasia, Países Bajos, Tailandia y Arabia Saudí también se encuentran entre los países afectados.

Beaumont confirmó la autenticidad de la filtración, correlacionando las direcciones IP y configuraciones de los dispositivos mediante Shodan. Las consecuencias del ataque incluyen:

• la filtración de credenciales confidenciales;
• la divulgación de configuraciones de cortafuegos, lo que facilita eludir las medidas de seguridad;
• la compromisión de certificados digitales, permitiendo acceso no autorizado a los dispositivos.

Se recomienda a las organizaciones adoptar las siguientes medidas:

1. Cambiar todas las credenciales, especialmente aquellas incluidas en la filtración;
2. Revisar las configuraciones de los dispositivos para detectar vulnerabilidades y reforzar el control de acceso;
3. Revocar y reemplazar los certificados digitales comprometidos;
4. Realizar auditorías e investigaciones de incidentes para identificar posibles consecuencias de las brechas de seguridad en 2022.

Mientras tanto, Fortinet ha revelado recientemente otra vulnerabilidad Zero-Day — CVE-2024-55591 (con puntaje CVSS: 9.8), que afecta a dispositivos FortiGate en las versiones de FortiOS 7.0.0–7.0.16 y 7.2.0–7.2.12. Aunque esta vulnerabilidad no está directamente relacionada con el ataque del grupo Belsen, los expertos advierten que los atacantes podrían utilizar métodos similares.

Paralelamente, la empresa Arctic Wolf ha identificado una campaña masiva de explotación de FortiGate iniciada en diciembre de 2024. Hasta ahora no se ha establecido una conexión con la filtración de datos. Fortinet y Arctic Wolf se han abstenido de comentar sobre la situación.