De una intrusión en FortiGate al control total en 10 minutos: analizamos nuevos escenarios de compromiso de redes corporativas

La intrusión en un dispositivo de red en el perímetro puede llevar rápidamente al atacante a los controladores de dominio y a los datos clave de la empresa. A principios de 2026, especialistas registraron varios ataques en los que los atacantes aprovecharon vulnerabilidades en los cortafuegos FortiGate para infiltrarse en redes corporativas y luego expandir el ataque dentro de la infraestructura.

El equipo de SentinelOne investigó varios casos similares. En todos los episodios, los atacantes primero obtenían acceso a dispositivos FortiGate Next-Generation Firewall y luego comenzaban el movimiento lateral en la red. Los ataques se detectaron precisamente en la fase de propagación interna.

Durante las investigaciones, Fortinet corrigió varias vulnerabilidades peligrosas. CVE-2025-59718 y CVE-2025-59719 afectaban el mecanismo de inicio de sesión único. Debido a la falta de verificación de la firma criptográfica, un atacante podía enviar un token SSO especialmente manipulado y obtener acceso administrativo sin autenticación. Otra vulnerabilidad, CVE-2026-24858, permitía acceder a los dispositivos FortiGate con la autenticación mediante FortiCloud activada. En algunos casos, los atacantes iniciaban sesión con sus propias cuentas de FortiCloud. También se registraron intentos de acceso utilizando contraseñas débiles y comunes.

Tras obtener acceso, el atacante volcaba el archivo de configuración del dispositivo con el comando show full-configuration. Ese archivo contiene la estructura de la red y las credenciales de las cuentas de servicio. Dado que FortiOS usa cifrado reversible, el atacante puede descifrar el archivo y obtener los nombres de usuario y las contraseñas.

Uno de los incidentes comenzó en noviembre de 2025 y pasó desapercibido hasta febrero de 2026. El atacante creó en el dispositivo FortiGate una cuenta local de administrador llamada support y añadió reglas de cortafuegos que permitían a esa cuenta moverse entre todas las zonas de red. Después, la actividad casi desapareció, lo que recuerda al trabajo de un corredor de acceso inicial, que mantiene el punto de entrada y posteriormente transfiere el acceso a otros participantes del ataque.

Más tarde, el atacante extrajo de la configuración las credenciales de la cuenta LDAP fortidcagent e inició sesión en Active Directory desde la dirección IP 193.24.211[.]61. Tras el acceso, el atacante añadió al dominio dos estaciones de trabajo falsificadas WIN-X8WRBOSK0OF y WIN-YRSXLEONJY2 mediante el parámetro mS-DS-MachineAccountQuota, que permite a una cuenta normal añadir hasta diez equipos al dominio.

A continuación se inició el escaneo de la red y la fuerza bruta de contraseñas. El sistema registró numerosos intentos fallidos de inicio de sesión cuya fuente coincidía con la dirección IP del dispositivo FortiGate. En los sistemas también se detectaron rastros de la utilidad SoftPerfect Network Scanner. Además, se registraron intentos de acceso desde las direcciones IP 185.156.73[.]62 y 185.242.246[.]127.

En el segundo incidente, el atacante actuó mucho más rápido. Tras acceder al FortiGate, creó una cuenta administrativa ssl-admin, extrajo la configuración del dispositivo y obtuvo las credenciales del administrador del dominio. En apenas diez minutos, el atacante accedió a varios servidores con la cuenta integrada de administrador del dominio.

En los servidores, el atacante colocó archivos en el directorio C:\ProgramData\USOShared e instaló herramientas de administración remota Pulseway y MeshAgent. El instalador de Pulseway se alojó en el almacenamiento en la nube de Google Cloud Storage, y MeshAgent se instaló en el controlador de dominio y en el servidor de archivos, ocultando el programa de la lista de aplicaciones instaladas.

Adicionalmente, el atacante descargó un archivo malicioso desde un almacenamiento de Amazon S3. El programa se hacía pasar por componentes de Java y ejecutaba bibliotecas maliciosas mediante la carga lateral de DLL. Tras la ejecución, el malware se comunicó con los dominios ndibstersoft[.]com y neremedysoft[.]com, y luego se propagó a otros servidores mediante la utilidad PsExec.

En la siguiente etapa, el atacante creó una copia de sombra del controlador de dominio y extrajo de ella la base de Active Directory NTDS.dit junto con la rama del registro SYSTEM. Los archivos se comprimieron y se transfirieron a un servidor externo mediante una conexión con la dirección IP 172.67.196[.]232, perteneciente a la red Cloudflare. La conexión duró alrededor de ocho minutos, tras lo cual los archivos comprimidos se eliminaron.

Este tipo de ataques es especialmente peligroso, ya que los dispositivos FortiGate tienen acceso a componentes clave de la infraestructura, incluido Active Directory. Además, en esos dispositivos no se pueden instalar sistemas de protección a nivel de estaciones de trabajo. Por ello, la protección principal consiste en aplicar actualizaciones con prontitud, controlar estrictamente el acceso administrativo y conservar los registros de eventos durante un período prolongado. Los especialistas recomiendan guardar los registros al menos 14 días, preferiblemente 60–90 días, y enviarlos a sistemas centralizados de monitorización de seguridad.