Fortinet advierte: una antigua vulnerabilidad de FortiGate permite acceso incluso tras las actualizaciones

Fortinet ha lanzado una alerta: incluso después de instalar todas las actualizaciones, los atacantes pueden mantener el acceso a dispositivos FortiGate VPN. No se trata de una nueva vulnerabilidad, sino de una técnica que permite a los hackers permanecer en el sistema usando los «rastros» que dejaron ataques anteriores.

En los últimos días, Fortinet ha comenzado a enviar correos a sus clientes con un asunto preocupante: «Dispositivo comprometido detectado — FortiGate / FortiOS — Se requieren acciones urgentes». Los mensajes están marcados con el nivel TLP:AMBER+STRICT, lo que restringe su circulación dentro de las organizaciones. El motivo de la alarma: datos de telemetría de FortiGuard revelaron signos de código externo presente en los sistemas.

Los correos aclaran que el problema no está relacionado con un fallo nuevo. Se trata de huellas que quedaron en el sistema tras la explotación de vulnerabilidades ya conocidas, incluyendo CVE-2022-42475, CVE-2023-27997 y CVE-2024-21762. Incluso después de aplicar los parches y actualizar el firmware, algunos componentes maliciosos pueden seguir activos.

Tras las consultas de periodistas, Fortinet emitió un comunicado oficial detallando la técnica empleada por los atacantes: durante el compromiso, creaban un enlace simbólico dentro del directorio de archivos de idioma de la interfaz web SSL-VPN. Este enlace conectaba el área de usuario con el sistema raíz, permitiendo a los atacantes leer archivos incluso después de haber sido «expulsados».

El punto crítico es que el archivo malicioso tenía apariencia legítima, ya que se ubicaba en una carpeta que el sistema utiliza regularmente. Así, el componente malicioso quedaba oculto, sin levantar sospechas ni en los administradores ni en las soluciones de seguridad.

Gracias a esta vía de acceso, los atacantes podían seguir monitoreando cambios en la configuración, ver archivos del sistema y vigilar el dispositivo —aunque sin capacidad de modificarlo. En esencia, se trata de una forma de acceso pasivo, pensada para futuras actividades o recolección de datos.

La amenaza no es nueva: ataques similares se han documentado desde principios de 2023. Así lo informó la agencia francesa CERT-FR, parte de la ANSSI, el organismo nacional de ciberseguridad. Allí confirmaron que se trata de una campaña a gran escala que ha afectado a numerosos dispositivos en todo el país.

Según analistas de CERT-FR, muchos incidentes investigados durante el último año mostraban los mismos indicios: el mismo enlace simbólico, el mismo acceso vía SSL-VPN y los mismos rastros en niveles que suelen pasar desapercibidos para los administradores. En algunos casos, el malware permanecía activo durante meses antes de ser detectado.

La agencia estadounidense CISA también ha hecho un llamado a los especialistas a reportar cualquier indicio similar. Cualquier comportamiento sospechoso relacionado con FortiGate debe comunicarse de inmediato al centro operativo de CISA, disponible las 24 horas, a través del correo Report@cisa.gov o por teléfono al (888) 282-0870.

Para eliminar la puerta trasera, Fortinet recomienda actualizar el firmware a una de las últimas versiones de FortiOS: 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16. Estas versiones, además de cerrar las vulnerabilidades conocidas, eliminan automáticamente los archivos maliciosos, incluidos los enlaces simbólicos.

También se pide a los administradores revisar cuidadosamente la configuración de los dispositivos. Fortinet ha publicado incluso una guía especial para restaurar la seguridad y restablecer credenciales en dispositivos comprometidos.

Por su parte, CERT-FR sugiere complementar estas acciones con pasos adicionales: aislar temporalmente los dispositivos potencialmente infectados del resto de la red, actualizar completamente todos los secretos (contraseñas, tokens, certificados y claves criptográficas), y revisar la infraestructura en busca de movimientos laterales —los atacantes pudieron usar el acceso a FortiGate como trampolín hacia otros segmentos de la red.