Ciberseguridad 360 | Ataques apuntan a vulnerabilidad desconocida en firewalls Fortinet expuestos

Los cazadores de amenazas est�n llamando la atenci�n sobre una nueva campa�a que ha tenido como objetivo los dispositivos cortafuegos Fortinet FortiGate con interfaces de gesti�n expuestas en la Internet p�blica.

�La campa�a inclu�a inicios de sesi�n administrativos no autorizados en interfaces de gesti�n de cortafuegos, creaci�n de nuevas cuentas, autenticaci�n SSL VPN a trav�s de esas cuentas y otros cambios de configuraci�n�, afirma la empresa de ciberseguridad Arctic Wolf en un an�lisis publicado la semana pasada.

Se cree que la actividad maliciosa comenz� a mediados de noviembre de 2024, con actores de amenazas desconocidos que obtuvieron acceso no autorizado a las interfaces de gesti�n de los firewalls afectados para alterar las configuraciones y extraer credenciales utilizando DCSync.

El vector de acceso inicial exacto no se conoce actualmente, aunque se ha evaluado con �alta confianza� que es probable que sea impulsado por la explotaci�n de una vulnerabilidad de d�a cero dada la �l�nea de tiempo comprimida a trav�s de las organizaciones afectadas, as� como las versiones de firmware afectadas.�

Las versiones de firmware de los dispositivos afectados oscilaban entre la 7.0.14 y la 7.0.16, publicadas en febrero y octubre de 2024 respectivamente.

Se ha observado que la campa�a ha pasado por cuatro fases de ataque distintas que comenzaron en torno al 16 de noviembre de 2024, lo que ha permitido a los ciberdelincuentes pasar del escaneado de vulnerabilidades y el reconocimiento a los cambios de configuraci�n y el movimiento lateral.

�Lo que destaca de estas actividades, en contraste con las actividades leg�timas de cortafuegos, es el hecho de que hicieron un amplio uso de la interfaz jsconsole desde un pu�ado de direcciones IP inusuales�, afirman los investigadores de Arctic Wolf.

�Dadas las sutiles diferencias en la artesan�a y la infraestructura entre las intrusiones, es posible que m�ltiples individuos o grupos hayan estado involucrados en esta campa�a, pero el uso de jsconsole fue un hilo com�n en todos los casos.�

En resumen, los atacantes accedieron a las interfaces de gesti�n del cortafuegos para realizar cambios de configuraci�n, incluida la modificaci�n de la configuraci�n de salida de �est�ndar� a �m�s�, como parte de los primeros esfuerzos de reconocimiento, antes de realizar cambios m�s amplios para crear nuevas cuentas de superadministrador a principios de diciembre de 2024.

Estas cuentas de superadministrador reci�n creadas se habr�an utilizado posteriormente para configurar hasta seis nuevas cuentas de usuario locales por dispositivo y a�adirlas a grupos existentes que hab�an sido creados previamente por las organizaciones v�ctimas para el acceso a VPN SSL. En otros incidentes, se secuestraron cuentas existentes y se a�adieron a grupos con acceso a VPN.

�Tambi�n se observ� a los actores de amenazas creando nuevos portales SSL VPN a los que a�ad�an cuentas de usuario directamente�, se�al� Arctic Wolf. �Tras realizar los cambios necesarios, los actores de la amenaza establecieron t�neles VPN SSL con los dispositivos afectados. Todas las direcciones IP cliente de los t�neles proced�an de un pu�ado de proveedores de alojamiento VPS.�

La campa�a culmin� con los adversarios aprovechando el acceso SSL VPN para extraer credenciales para el movimiento lateral utilizando una t�cnica llamada DCSync. Dicho esto, actualmente no hay visibilidad de sus objetivos finales, ya que fueron purgados de los entornos comprometidos antes de que los ataques pudieran pasar a la siguiente fase.

Para mitigar estos riesgos, es esencial que las organizaciones no expongan sus interfaces de gesti�n de cortafuegos a Internet y limiten el acceso a usuarios de confianza.

�La victimolog�a en esta campa�a no se limit� a ning�n sector o tama�o de organizaci�n espec�ficos�, dijo la compa��a. �La diversidad de perfiles de organizaciones v�ctimas combinada con la aparici�n de eventos automatizados de inicio/cierre de sesi�n sugiere que el objetivo era de naturaleza oportunista en lugar de ser deliberada y met�dicamente dirigido.�

Fortinet confirma un nuevo zero-day

Fortinet ha publicado detalles de una nueva vulnerabilidad cr�tica de elusi�n de autenticaci�n en FortiOS y FortiProxy (CVE-2024-55591, puntuaci�n CVSS: 9,6) que, seg�n afirma, est� siendo utilizada para secuestrar cortafuegos y vulnerar redes empresariales.

�Una vulnerabilidad de elusi�n de autenticaci�n mediante una ruta o canal alternativo [CWE-288] que afecta a FortiOS y FortiProxy puede permitir a un atacante remoto obtener privilegios de superadministrador a trav�s de solicitudes manipuladas al m�dulo websocket Node.js�, dijo la compa��a en un aviso publicado el 14 de enero de 2025.

La deficiencia afecta a las siguientes versiones

FortiOS 7.0.0 a 7.0.16 (Actualizaci�n a 7.0.17 o superior)
FortiProxy 7.0.0 a 7.0.19 (Actualizaci�n a 7.0.20 o superior), y
FortiProxy 7.2.0 a 7.2.12 (Actualizaci�n a 7.2.13 o superior).

Tambi�n dijo que la vulnerabilidad ha sido utilizada como arma por actores de amenazas desconocidos para crear cuentas de administrador y de usuario local, configurar un nuevo grupo de usuarios o a�adir usuarios locales reci�n creados a un grupo de usuarios SSL VPN existente, y hacer cambios en la pol�tica de firewall, haci�ndose eco de los hallazgos de Arctic Wolf.

Fuente: thehackernews