Los cazadores de amenazas han destacado una nueva campaña que apunta a los dispositivos de cortafuegos Fortinet FortiGate con interfaces de gestión expuestas en Internet público.
“La campaña implicó inicios de sesión administrativos no autorizados en las interfaces de gestión de los cortafuegos, la creación de nuevas cuentas, la autenticación SSL VPN mediante esas cuentas y otros cambios en la configuración”, explicó Arctic Wolf en un análisis publicado la semana pasada.
Se cree que las actividades maliciosas comenzaron a mediados de noviembre de 2024. Actores desconocidos lograron acceso no autorizado a las interfaces de gestión en cortafuegos afectados, alteraron configuraciones y extrajeron credenciales utilizando DCSync.
Aunque aún no se conoce el vector de acceso inicial, se ha evaluado con “alta confianza” que probablemente se deba a la explotación de una vulnerabilidad zero-day, dada la “rápida propagación entre organizaciones afectadas y las versiones de firmware implicadas.”
Las versiones de firmware afectadas incluyen entre la 7.0.14 y la 7.0.16, lanzadas en febrero y octubre de 2024 respectivamente.
La campaña constó de cuatro fases distintas que comenzaron el 16 de noviembre de 2024, progresando desde el escaneo de vulnerabilidades hasta la configuración y el movimiento lateral.
“Lo que distingue estas actividades de las legítimas es el uso extensivo de la interfaz jsconsole desde un puñado de direcciones IP inusuales”, dijeron investigadores de Arctic Wolf.
Además, diferencias en técnicas e infraestructura sugieren la posible participación de múltiples actores, aunque el uso de jsconsole fue constante.
En resumen, los atacantes iniciaron sesión en las interfaces de gestión de los cortafuegos para modificar configuraciones. Entre sus acciones destacaron cambiar ajustes de salida, crear cuentas de superadministrador y establecer túneles SSL VPN desde direcciones IP asociadas con proveedores de alojamiento VPS.
La campaña culminó con la extracción de credenciales para movimiento lateral usando DCSync. Aunque los atacantes fueron eliminados de los entornos comprometidos, sus objetivos finales siguen siendo desconocidos.
Para mitigar riesgos, las organizaciones deben evitar exponer interfaces de gestión en Internet y limitar el acceso a usuarios confiables.
Fortinet publicó detalles sobre una vulnerabilidad crítica de omisión de autenticación en FortiOS y FortiProxy (CVE-2024-55591, CVSS: 9.6). Esta vulnerabilidad ha sido explotada para obtener privilegios de superadministrador mediante solicitudes diseñadas al módulo websocket de Node.js.
Las versiones afectadas incluyen:
La vulnerabilidad ha sido utilizada para crear cuentas de administrador, configurar nuevos grupos de usuarios y modificar políticas de cortafuegos, según hallazgos de Arctic Wolf.
Threat hunters have uncovered a campaign targeting Fortinet FortiGate firewalls with exposed management interfaces on public internet.
“The campaign involved unauthorized admin logins on firewall management interfaces, new account creation, SSL VPN authentication using those accounts, and other configuration changes,” Arctic Wolf explained in a recent report.
Malicious activity reportedly began mid-November 2024, with unknown actors accessing management interfaces, modifying settings, and extracting credentials using DCSync.
While the initial access vector is unknown, researchers believe with “high confidence” it likely stems from exploiting a zero-day vulnerability due to the “compressed timeline across affected organizations and impacted firmware versions.”
Affected firmware versions range from 7.0.14 to 7.0.16, released between February and October 2024.
The campaign unfolded in four stages starting November 16, 2024, evolving from vulnerability scanning to configuration changes and lateral movement.
“What differentiates these activities from legitimate ones is the extensive use of the jsconsole interface from unusual IP addresses,” Arctic Wolf researchers noted.
Differences in tradecraft suggest multiple actors may be involved, though jsconsole usage was consistent.
In summary, attackers accessed management interfaces to modify settings, create super admin accounts, and establish SSL VPN tunnels from VPS hosting IPs.
The campaign ended with adversaries extracting credentials for lateral movement via DCSync. Their ultimate goals remain unclear as they were purged from systems before advancing further.
To mitigate risks, organizations should avoid exposing management interfaces online and restrict access to trusted users.
Fortinet disclosed a critical authentication bypass flaw in FortiOS and FortiProxy (CVE-2024-55591, CVSS: 9.6). This flaw allows attackers to gain super-admin privileges via crafted Node.js websocket requests.
Affected versions include:
The vulnerability has been weaponized to create admin accounts, configure user groups, and modify firewall policies, as noted by Arctic Wolf.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.