Underc0de - La Casa de los Informáticos

Una nueva y alarmante filtración de datos, bautizada como FortiBleed, ha puesto en evidencia la magnitud de las amenazas que enfrentan las organizaciones que dependen de infraestructuras de acceso remoto. La exposición incluye lo que parece ser una enorme colección de credenciales VPN SSL y datos administrativos de dispositivos Fortinet y FortiGate pertenecientes a empresas, organismos gubernamentales y operadores de infraestructuras críticas distribuidos en 194 países.

El hallazgo ha generado una fuerte preocupación dentro de la comunidad de ciberseguridad debido a que muchas de las credenciales expuestas continúan siendo válidas y podrían facilitar accesos no autorizados a redes corporativas sensibles.

¿Qué es FortiBleed y cómo fue descubierto?

La filtración fue descubierta inicialmente por el investigador de seguridad Bob Diachenko, quien localizó un servidor expuesto que almacenaba una enorme base de datos con credenciales aparentemente válidas de dispositivos Fortinet VPN.

Entre la información encontrada se incluyen:

• Nombres de usuario.
• Direcciones de correo electrónico.
• Contraseñas en texto plano.
• Información organizacional.
• Datos utilizados para la planificación de ataques.

Según las evidencias compartidas por Diachenko, la base de datos contenía información perteneciente a miles de organizaciones reconocidas internacionalmente, incluyendo empresas de sectores estratégicos como telecomunicaciones, energía, manufactura, tecnología, finanzas y defensa.

La investigación reveló además que los atacantes mantenían registros detallados sobre los compromisos exitosos, clasificando a las víctimas según ingresos, número de empleados e industria, una práctica habitual en operaciones avanzadas de espionaje y cibercrimen.

Una campaña masiva de ataques contra FortiGate

De acuerdo con los datos analizados, la operación habría sido ejecutada por un grupo de amenazas de habla rusa con múltiples operadores especializados.

Los números son impactantes:

• Más de 1.160 millones de intentos de autenticación contra 320.777 objetivos FortiGate.
• Aproximadamente 2.100 millones de intentos de acceso dirigidos a 163.650 servidores Microsoft SQL Server.
• Decenas de miles de credenciales verificadas y catalogadas.

Los investigadores creen que los atacantes interceptaron hashes de autenticación de VPN SSL, los descifraron utilizando una infraestructura de alto rendimiento basada en 45 GPU administradas mediante Hashtopolis y posteriormente emplearon las credenciales obtenidas para acceder a redes corporativas.

Una vez dentro de los entornos comprometidos, los actores maliciosos habrían realizado movimientos laterales hacia dominios de Active Directory, ampliando significativamente su nivel de acceso y control sobre las infraestructuras afectadas.

Empresas y sectores afectados por la filtración

Los datos analizados muestran que la campaña tuvo un alcance global sin precedentes.

Entre las organizaciones cuyos dominios aparecen dentro del conjunto de datos se encuentran compañías multinacionales de enorme relevancia, incluyendo fabricantes tecnológicos, operadores de telecomunicaciones, consultoras globales, proveedores de servicios y entidades gubernamentales.

Posteriormente, la firma de inteligencia de amenazas Hudson Rock recibió el conjunto de datos y confirmó la existencia de:

• 73.932 URLs únicas de firewalls.
• 21.632 dominios distintos.
• Organizaciones distribuidas en 194 países.

Los países con mayor cantidad de dispositivos afectados incluyen:

• India.
• Estados Unidos.
• Taiwán.
• México.
• Turquía.
• Tailandia.
• Colombia.
• Malasia.
• Chile.
• Emiratos Árabes Unidos.

Los sectores más afectados son:

Telecomunicaciones

Los operadores de telecomunicaciones dependen ampliamente de VPN empresariales para administrar infraestructuras críticas y redes distribuidas.

Servicios financieros

Las entidades financieras utilizan conexiones seguras para proteger información sensible de clientes y transacciones.

Tecnología y servicios TI

Las empresas tecnológicas suelen administrar múltiples accesos remotos para empleados, socios y clientes.

Salud

Hospitales y organizaciones sanitarias utilizan VPN para acceder a historiales médicos y sistemas clínicos.

Educación

Universidades e instituciones educativas mantienen plataformas remotas para estudiantes y personal académico.

Manufactura

Las empresas manufactureras gestionan plantas industriales y cadenas de suministro mediante accesos remotos protegidos.

Kevin Beaumont confirma la autenticidad de las credenciales

El reconocido investigador de ciberseguridad Kevin Beaumont realizó una revisión independiente de parte de los datos filtrados y confirmó que varias credenciales eran legítimas.

Según Beaumont, la información parece proceder directamente de configuraciones exportadas de dispositivos Fortinet, ya que contiene elementos que normalmente solo están disponibles dentro de archivos de configuración internos.

El experto también destacó varios aspectos preocupantes:

• La mayoría de los dispositivos comprometidos siguen accesibles desde Internet.
• Muchos ejecutan versiones relativamente recientes de FortiOS.
• La filtración parece ser mucho más reciente que incidentes anteriores asociados a Fortinet.
• Las direcciones IP identificadas no coinciden con otras filtraciones conocidas.

Uno de los hallazgos más alarmantes es que aproximadamente la mitad de todos los dispositivos Fortinet accesibles públicamente podrían verse reflejados en esta filtración, según estimaciones basadas en datos de Shodan.

¿Cómo obtuvieron los atacantes los datos?

Actualmente, la fuente exacta de la filtración sigue siendo desconocida.

Los investigadores todavía no han determinado si los datos fueron obtenidos mediante:

• Vulnerabilidades previamente conocidas en Fortinet.
• Una vulnerabilidad de día cero aún no revelada.
• Configuraciones inseguras.
• Robo directo de archivos de configuración.
• Credenciales comprometidas mediante ataques de fuerza bruta.

Lo que sí parece claro es que los atacantes tuvieron acceso a información extremadamente sensible que normalmente no está disponible públicamente.

Además, los archivos encontrados incluían scripts, herramientas automatizadas, registros operativos, historiales de comandos y otros artefactos utilizados durante la campaña de intrusión.

Riesgos para las organizaciones afectadas

La exposición de credenciales VPN y administrativas representa un riesgo crítico para cualquier organización.

Entre las posibles consecuencias se encuentran:

• Acceso remoto no autorizado.
• Robo de información confidencial.
• Compromiso de Active Directory.
• Despliegue de ransomware.
• Espionaje corporativo.
• Interrupción de operaciones críticas.
• Escalada de privilegios.
• Persistencia de actores maliciosos dentro de la red.

La presencia de contraseñas complejas y aparentemente válidas sugiere además que los atacantes pudieron acceder directamente a configuraciones internas en lugar de limitarse a campañas tradicionales de fuerza bruta.

Medidas urgentes para protegerse de FortiBleed

Las organizaciones que utilizan dispositivos Fortinet deben actuar de inmediato para reducir los riesgos asociados a esta filtración.

Los expertos recomiendan:

• Cambiar inmediatamente todas las contraseñas de VPN SSL y cuentas administrativas.
• Implementar autenticación multifactor (MFA) en todos los accesos remotos.
• Revisar registros de acceso en busca de actividades sospechosas.
• Auditar configuraciones de FortiGate y FortiOS.
• Restringir las interfaces de administración expuestas a Internet.
• Supervisar credenciales corporativas filtradas.
• Aplicar todas las actualizaciones y parches de seguridad disponibles.
• Realizar análisis forenses para detectar posibles compromisos previos.

En fin...

FortiBleed podría convertirse en una de las mayores filtraciones de credenciales relacionadas con dispositivos Fortinet registradas hasta la fecha. Con cerca de 75.000 firewalls afectados, millones de intentos de autenticación documentados y organizaciones de sectores críticos comprometidas, el incidente demuestra que las VPN corporativas continúan siendo uno de los principales objetivos de los grupos de cibercrimen y espionaje.

Mientras la fuente exacta de la filtración sigue bajo investigación, las organizaciones no deben esperar confirmaciones adicionales para actuar. La rotación inmediata de credenciales, la implementación de MFA y la revisión exhaustiva de registros y configuraciones son medidas esenciales para evitar que esta exposición se convierta en una brecha de seguridad de mayores dimensiones.

Fuente: https://www.bleepingcomputer.com/