Una exhaustiva campaña de ciberespionaje, ahora denominada
FortiBleed, ha comprometido silenciosamente más de 73.932 URL únicas de firewalls
Fortinet en 194 países.
Las vulnerabilidades explotadas (ver abajo) ya se encuentra solucionadas
pero los administradores deben aplicar los parches.
"La base de datos del atacante contiene credenciales de acceso para más de
30.791 dispositivos pertenecientes a empresas y organizaciones
gubernamentales de 194 países",
declaró SOCRadar.
"No se trata de conjeturas aleatorias. Son nombres de usuario y contraseñas
verificados y funcionales, probados y confirmados por los propios atacantes
mediante herramientas automatizadas que operan las 24 horas del día".
Descubierta originalmente por el
investigador de seguridad Volodymyr "Bob" Diachenko
y analizada posteriormente por Hudson Rock, esta información revela una
operación altamente automatizada a escala industrial dirigida a dispositivos
FortiGate y gateways VPN SSL a nivel mundial, sin precedentes.
Los ciberdelincuentes ejecutaron aproximadamente 1.160 millones de intentos
de robo de credenciales contra más de 320.000 objetivos FortiGate, al tiempo
que lanzaron otros 2.100 millones de intentos de fuerza bruta contra más de
160.000 servidores MSSQL, lo que resultó en 21.632 dominios
comprometidos.
Fortinet declaró que la recopilación de credenciales se obtuvo a través de
incidentes anteriores y ataques de fuerza bruta, y que no implica ninguna
nueva falla o brecha de seguridad nueva.
Según el experto en ciberseguridad Kevin Beaumont, este conjunto de datos expone una operación masiva y automatizada. Los
actores de amenazas atacaron con éxito 73.932 URL de firewall únicas en 194
países, lo que resultó en 21.632 dominios únicos afectados. Sorprendentemente,
como destacó Beaumont, esto representa aproximadamente el 50% de todos los
dispositivos firewall de Fortinet que actualmente se encuentran en Internet.
Esta campaña se atribuye a un grupo ciberdelincuente ruso-hablante con
múltiples operadores, cuya metodología va mucho más allá del simple robo de
credenciales. El grupo
rastreó sistemáticamente internet en busca de instancias Fortinet
expuestas, probándolas con vastos repositorios de filtraciones históricas de
credenciales obtenidas mediante malware de robo de información.
Una vez que se establece un punto de acceso inicial, los atacantes se dirigen
directamente a entornos internos de Active Directory, lo que permite un acceso
profundo y persistente a la red que sobrevive a las comprobaciones de
seguridad rutinarias.
Uno de los vectores técnicos más alarmantes de la campaña es la interceptación
activa de hashes de autenticación SSL VPN, que posteriormente se descifran sin
conexión mediante un clúster dedicado de 45 GPU gestionado a través de
Hashtopolis.
Esto significa que incluso las organizaciones que creen que sus credenciales
cifradas son seguras están expuestas. Una vez que se vulnera el perímetro, los
operadores monitorean el tráfico para obtener accesos adicionales, creando un
ciclo de retroalimentación positiva de acceso no autorizado.
El alcance de las víctimas confirmadas abarca prácticamente todos los sectores
de la economía global. La investigación de Diachenko confirmó la vulneración
total de las redes de organizaciones en Japón, Taiwán, Vietnam, Irak y
Turquía, incluyendo, de manera crucial, a un contratista de defensa turco de
la OTAN del cual se extrajeron con éxito documentos de defensa clasificados.
La base de datos de credenciales verificadas de los atacantes incluye algunas
de las empresas más grandes del planeta:
- Tecnología y Manufactura: Foxconn, Samsung, Siemens, Lenovo, Oracle
- Servicios Profesionales: PwC, Accenture
- Telecomunicaciones: Comcast
-
y miles de entidades gubernamentales y proveedores de infraestructura
crítica.
Quizás la conclusión más preocupante de este conjunto de datos es que la
complejidad de las contraseñas no ofrecía ninguna protección. Un volumen
significativo de contraseñas de 20 caracteres, altamente complejas, se vieron
comprometidas no mediante su descifrado desde cero, sino porque ya existían en
texto plano en bases de datos de ladrones de información previamente robadas.
Cuando las credenciales se roban en el punto final antes de que se aplique el
cifrado, ninguna complejidad las protege. Esto socava fundamentalmente la
política de "contraseñas seguras" como estrategia de defensa perimetral.
Las tácticas del grupo van más allá de la obtención y reutilización de
credenciales. Se estima que los atacantes interceptan la autenticación
SSL-VPN, descifran hashes en un clúster de 45 GPU administrado mediante
Hashtopolis y acceden a entornos internos de Active Directory para su
posterior explotación y persistencia.
Hudson Rock lanzó un portal en línea especializado, diseñado específicamente para que las organizaciones verifiquen fácilmente
si sus dominios están incluidos en la base de datos.
Medidas de mitigación
Las organizaciones que utilizan dispositivos Fortinet deben tratar esto como
una amenaza crítica y activa, y actuar de inmediato:
-
Rotación obligatoria de credenciales: Restablecer sin demora todas
las contraseñas de la VPN y la interfaz de administración de Fortinet; la
complejidad es irrelevante si las credenciales ya se han filtrado.
-
Implementar la autenticación multifactor universal: Aplicar la
autenticación multifactor en todas las puertas de enlace externas para
neutralizar las credenciales robadas en texto plano.
-
Registros de auditoría de la puerta de enlace: Revise los registros
de acceso de Fortinet para detectar ubicaciones de inicio de sesión
anómalas, sesiones de administrador inesperadas o volúmenes de tráfico
inusuales.
-
Restricción de la exposición de la interfaz de administración:
Aplique políticas de acceso local para restringir el acceso al panel de
administración únicamente a direcciones IP internas de confianza y desactive
el inicio de sesión único (SSO) de FortiCloud si no es esencial.
La campaña FortiBleed nos recuerda que la seguridad del perímetro
depende de las credenciales que lo protegen, y en un mundo saturado de datos
robados por ciberdelincuentes, el perímetro nunca ha sido tan frágil.
Actualización 18/06
Sólo en Argentina aparecen al menos 50 empresas y sitios gubernamentales
afectados y ya hay evidencia de infección de ransomware debido a la
explotación de esta vulnerabilidad.
Vulnerabilidades explotadas
En su publicación,
Defused Cyber informó
haber detectado la explotación de las vulnerabilidades CVE-2026-39813,
CVE-2026-39808, y CVE-2026-25089 en las últimas 24 horas.
CVE-2026-39813 (CVSS: 9.1) se refiere a una vulnerabilidad de recorrido de
ruta en la API JRPC de FortiSandbox que podría permitir a un atacante no
autenticado eludir la autenticación mediante solicitudes HTTP especialmente
diseñadas.
La segunda vulnerabilidad, CVE-2026-39808 (CVSS: 9.1), es un caso de inyección
de comandos del sistema operativo que podría permitir a un atacante no
autenticado ejecutar código o comandos no autorizados mediante solicitudes
HTTP especialmente diseñadas.
Fortinet corrigió ambas vulnerabilidades en abril de 2026.
Por otro lado, la vulnerabilidad CVE-2026-25089 (CVSS: 9.1) se solucionó la
semana pasada. Fortinet la describió como una inyección de comandos del
sistema operativo que afectaba a FortiSandbox, FortiSandbox Cloud y la
interfaz web de FortiSandbox PaaS, y que podía permitir a un atacante no
autenticado ejecutar comandos no autorizados mediante solicitudes HTTP
especialmente diseñadas.
Defused Cyber señaló que el exploit para CVE-2026-25089 no solo muestra
indicios de haber sido desarrollado mediante un modelo de inteligencia
artificial (IA), sino que además es defectuoso. Aún no se ha divulgado
públicamente un exploit funcional para esta vulnerabilidad.
En los últimos años, las vulnerabilidades en los dispositivos Fortinet se han
convertido en un objetivo prioritario para los atacantes. En abril de 2026,
Fortinet publicó parches fuera de ciclo para una falla de seguridad crítica
que afectaba a FortiClient EMS (CVE-2026-35616, CVSS: 9.1) y que, según la compañía, había sido explotada en la práctica.
Fuente:
CyberSecurityNews
