Hackers acceden a cortafuegos de empresas y organismos gubernamentales en 194 países, incluidas Oracle, Samsung y Siemens
La llave bajo el felpudo: en pocas palabras, cómo miles de empresas de la lista Fortune 500 «protegían» sus redes corporativas.
Grandes empresas en todo el mundo podrían haber mantenido durante años puertas a la vista a las que los atacantes ya tenían llave. Los especialistas informaron sobre una campaña masiva FortiBleed, en la que los ciberdelincuentes obtuvieron acceso a decenas de miles de cortafuegos Fortinet y pasarelas de redes privadas virtuales FortiGate.
El ataque no se parece a una intrusión basada en una nueva vulnerabilidad desconocida. El esquema es más sencillo y peligroso: los atacantes buscan dispositivos Fortinet expuestos en internet y luego prueban contraseñas previamente filtradas o adivinadas. Tras acceder al sistema, la pasarela comprometida empieza a interceptar el tráfico. A través de ella se recopilan nuevas credenciales que luego se usan con contraseñas recientes para ataques posteriores.
Hudson Rock afirma que encontró indicios de compromiso de 73 932 direcciones únicas de cortafuegos en 194 países. SOCRadar estima que el número de dispositivos afectados supera los 30 000. En los datos hallados aparecen 21 632 dominios, y entre las organizaciones potencialmente afectadas se citan Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens, PwC, organismos estatales y operadores de infraestructura crítica. Los especialistas desarrollaron una herramienta gratuita para comprobar si la vulnerabilidad FortiBleed ha afectado a una organización concreta.
El mayor número de dispositivos afectados, según Hudson Rock, se encuentra en India, Estados Unidos, Taiwán, México, Turquía, Tailandia, Colombia, Malasia, Chile y EAU. Entre los sectores más frecuentes aparecen telecomunicaciones, servicios de información, sector financiero, organismos gubernamentales, sanidad, educación e industria.
Primero sobre la filtración informó el especialista en seguridad Bob Dyachenko. Encontró un servidor abierto con una base donde se almacenaban nombres de usuario, direcciones de correo electrónico y contraseñas en texto claro. Según sus datos, los atacantes podrían haber realizado alrededor de 1,16 mil millones de intentos de inicio de sesión contra 320 777 objetivos FortiGate y otros 2,1 mil millones de intentos contra 163 650 servidores Microsoft SQL Server. Dyachenko también afirma que en el servidor quedaron archivos de servicio, registros, scripts y otras huellas de la actividad del grupo.
El especialista independiente Kevin Beaumont verificó parte del conjunto y declaró que los datos parecen auténticos. Según su estimación, la base contiene alrededor de 75 000 dispositivos Fortinet, y casi todos siguen accesibles desde internet. También sugirió que parte de la información podría provenir de configuraciones exportadas de Fortinet, ya que en el conjunto hay datos que normalmente se encuentran en archivos de configuración. No obstante, aún se desconoce la forma exacta en que se obtuvo la base original.
Fortinet afirmó que conoce una campaña de terceros que roba credenciales y que está dirigida a los cortafuegos y pasarelas de VPN de la empresa. Según Fortinet, el conjunto publicado está relacionado con la republicación por parte de atacantes de datos de incidentes antiguos y probaban contraseñas, y no con una nueva vulnerabilidad, una intrusión reciente o un boletín de seguridad reciente.
Los especialistas recomiendan a las empresas cambiar de inmediato las contraseñas de las interfaces administrativas y de las redes privadas virtuales Fortinet, habilitar la autenticación multifactor, revisar los registros de las pasarelas en busca de actividad sospechosa y comprobar por separado si las credenciales de empleados han aparecido en otras filtraciones.