Actualización de FortiGate: pagas por seguridad, recibes ciberespías gratis como bonificación

Investigadores han detectado un nuevo ataque a gran escala dirigido contra dispositivos VPN corporativos FortiGate, utilizados por empresas para proporcionar acceso remoto seguro a sus redes. Los atacantes emplearon una técnica astuta que les permite leer datos de los dispositivos comprometidos de forma encubierta, incluso después de que los administradores hayan detectado la intrusión e instalado todas las actualizaciones de seguridad necesarias.

La gravedad de la situación se evidencia en una notificación de emergencia que el fabricante Fortinet comenzó a enviar esta semana. La empresa distribuyó comunicaciones confidenciales a sus clientes con la clasificación TLP:AMBER+STRICT, lo que indica que la información está destinada exclusivamente a un grupo limitado de especialistas en seguridad. Gracias a los datos recolectados por las herramientas de monitoreo FortiGuard, se identificaron múltiples casos de compromiso.

En los correos con el asunto “Aviso de compromiso del dispositivo - FortiGate / FortiOS - ** Se requieren acciones urgentes **”, la compañía aclaró que el problema no se debe a nuevas vulnerabilidades, sino a consecuencias de ataques anteriores. Los atacantes habían explotado fallos de seguridad ya conocidos (CVE-2022-42475, CVE-2023-27997 y CVE-2024-21762) para ingresar a los sistemas. Sin embargo, ahora se ha descubierto que, tras la intrusión, dejaban un mecanismo oculto para mantener el acceso.

En la carpeta donde se almacenan los paquetes de idiomas de los dispositivos VPN, los atacantes creaban enlaces simbólicos especiales. Estos enlaces conducían al sistema de archivos raíz de FortiGate con SSL-VPN habilitado y se ubicaban en una sección del usuario que los mecanismos estándar de verificación de seguridad no detectaban. De esta forma, los hackers obtenían acceso a archivos de configuración y otros datos críticos.

La magnitud del problema resultó ser bastante significativa. El Centro de Respuesta ante Incidentes Informáticos de Francia (CERT-FR), parte de la agencia nacional ANSSI, informó sobre una campaña masiva dirigida contra usuarios locales que comenzó a principios de 2023. Según los datos del centro, un gran número de dispositivos en el país fueron afectados por los ataques.

La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) instó a los especialistas en seguridad de redes a informar sobre cualquier incidente o actividad sospechosa relacionada con estos ataques. Su centro operativo disponible las 24 horas recibe reportes a través del correo electrónico Report@cisa.gov o por teléfono.

Para protegerse de los ataques, Fortinet recomienda actualizar de inmediato el firmware de los cortafuegos a las últimas versiones de FortiOS: 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16. Esta acción ayudará a eliminar los archivos maliciosos utilizados por los hackers para mantener el acceso. Se aconseja a los administradores revisar minuciosamente la configuración de los dispositivos en busca de cambios no autorizados. La empresa también ha publicado una guía especial para restablecer las credenciales potencialmente comprometidas.

Asimismo, se recomienda aislar los dispositivos VPN infectados de la red y realizar un reinicio completo de todos los datos sensibles, incluidas cuentas, certificados, tokens de autenticación y claves criptográficas. Se debe prestar especial atención a la búsqueda de indicios de movimiento lateral, es decir, intentos de los atacantes por extender el compromiso a otras partes de la red corporativa.