La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) instó el jueves a los clientes de Fortinet que utilizan dispositivos FortiGate a tomar medidas para protegerse contra la actividad maliciosa en curso dirigida a miles de dispositivos con acceso a Internet.
Se cree que esta campaña a gran escala es obra de atacantes de habla rusa y ha recibido el nombre en código «FortiBleed». El número de dispositivos comprometidos alcanzó 86.644 al 19 de junio de 2026.
Según los datos de SOCRadar, las cuentas de administrador genéricas (35%) y las cuentas integradas del sistema Fortinet (28,3%) juntas representan la mayoría de las credenciales comprometidas. Las cuentas específicas de la organización representaron el 36,7% de las credenciales comprometidas restantes.
«Esto apunta directamente a una falla generalizada a la hora de cambiar el nombre de las cuentas predeterminadas y rotar las credenciales de fábrica, dando a los atacantes una lista confiable de objetivos antes de que sean necesarios ataques de fuerza bruta», dijo SOCRadar.
«Es significativo que las cuentas específicas de la organización ocupen un lugar destacado en la lista. Esto significa que los atacantes no sólo están recopilando credenciales predeterminadas, sino que también están comprometiendo con éxito cuentas creadas por la propia organización, posiblemente como resultado de compromisos anteriores en los que no se cambiaron las contraseñas».
Las telecomunicaciones, el gobierno y la educación han surgido como los tres principales sectores afectados, siendo India, Estados Unidos, México, Colombia y Tailandia los que experimentan la mayor exposición.
Los atacantes supuestamente escanearon una gran cantidad de puntos finales de inicio de sesión remoto de Fortinet a través de Internet y utilizaron herramientas personalizadas para rociar combinaciones conocidas de inicio de sesión y contraseña en los puntos finales identificados en un intento de obtener acceso.
El ataque totalmente automatizado se basa en un enfoque autónomo de dos pasos.
Los actores de amenazas intentan acceder a una lista selecta de contraseñas de Fortinet comprometidas en dispositivos en Internet. Una vez obtenido el acceso, monitorean pasivamente el tráfico de red que pasa a través del dispositivo para recopilar credenciales adicionales, que luego utilizan para comprometer más dispositivos.
Las credenciales son legítimas y válidas, y el atacante valida cada credencial antes de agregarla a la base de datos de inicios de sesión en funcionamiento verificados.
«La magnitud de esta violación afecta a casi todos los sectores de la economía global y no perdona a ninguna industria», dijo Hudson Locke. «Los actores de amenazas han creado una base de datos verificada de credenciales válidas para algunas de las empresas más grandes del planeta».
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido describe FortiBleed como una campaña global dirigida a los firewalls de Fortinet y las puertas de enlace VPN conectadas a Internet utilizando técnicas como fuerza bruta, ataques de diccionario y relleno de credenciales.
Se cree que los atacantes probablemente explotaron el antiguo mecanismo de hash de credenciales y la forma en que históricamente se almacenaban las credenciales dentro de los archivos de configuración de FortiGate para llevar a cabo ataques a gran escala.
«Fortinet introdujo el hash de contraseñas basado en PBKDF2 para credenciales de administrador en FortiOS 7.2.11, 7.4.8 y 7.6.1, reemplazando el mecanismo de almacenamiento tradicional basado en SHA-256», dijo Arctic Wolf. «Sin embargo, si está actualizando desde una versión anterior, las contraseñas de administrador existentes permanecerán almacenadas como hash SHA-256 hasta que el administrador correspondiente inicie sesión exitosamente después de la actualización».
«Como resultado, muchas organizaciones pueden continuar almacenando credenciales de administrador utilizando el antiguo SHA-256 con un mecanismo de hashing Salt».
En una declaración compartida con The Hacker News, un portavoz de Fortinet dijo: «Los datos involucrados probablemente sean un nuevo intercambio de datos de un incidente anterior o un ataque de fuerza bruta a las credenciales, y no están relacionados con el incidente o aviso actual», e instó a las organizaciones a seguir las mejores prácticas, como la rotación regular de credenciales de seguridad y la habilitación de la autenticación multifactor (MFA).
CISA ha delineado las siguientes recomendaciones para prevenir esta actividad.
Termine todas las sesiones administrativas y VPN SSL activas, restablezca todas las contraseñas administrativas y VPN de Fortinet y aplique políticas de contraseñas seguras, especialmente en sistemas conectados a Internet. Utiliza el algoritmo 2 de la función de derivación de clave basada en contraseña (PBKDF2) para almacenar credenciales de administrador y eliminar hashes heredados débiles. Verifique los registros del firewall, VPN, autenticación y controlador de dominio para detectar signos de actividad sospechosa, como cambios de configuración no autorizados. Habilite MFA resistente al phishing en todas las puertas de enlace externas e interfaces de administración. Reduzca la superficie de ataque y bloquee la gestión.
El incidente de FortiBleed salió a la luz por primera vez la semana pasada después de que el investigador de seguridad Volodymyr «Bob» Diachenko descubriera un servidor que contenía una base de datos de credenciales de inicio de sesión válidas para miles de firewalls y puertas de enlace VPN en 194 países. Según SOCRadar, el servidor también organizó las herramientas y los scripts de automatización del atacante.
Los hallazgos demuestran una vez más cómo los atacantes maliciosos pueden utilizar la reutilización de credenciales y la mala higiene de las contraseñas como armas, sin mencionar que los dispositivos de seguridad perimetral siguen siendo un objetivo lucrativo para obtener acceso inicial a entornos empresariales.
Source link
