Noticias

FortiBleed: 75.000 firewalls Fortinet comprometidos a nivel mundial

Fecha de publicación: 

Resumen ejecutivo

Los firewalls y gateways VPN de Fortinet sirven como el perímetro defensivo principal para innumerables organizaciones en todo el mundo. Sin embargo, una nueva campaña masiva de ciberespionaje (FortiBleed) ha comprometido silenciosamente estos dispositivos de confianza en una escala global sin precedentes.

Originalmente descubierta por el investigador de seguridad Volodymyr “Bob” Diachenko, con análisis adicional de Hudson Rock y el experto en ciberseguridad Kevin Beaumont, este conjunto de datos expone una operación masiva y automatizada. Los actores de amenazas lograron apuntar a 73.932 URLs de firewall únicas en 194 países, resultando en 21.632 dominios únicos afectados. Sorprendentemente, como destacó Beaumont, esto representa aproximadamente el 50% de todos los dispositivos firewall Fortinet actualmente expuestos a internet.

Según la revisión de los datos por Beaumont, los actores de amenazas probablemente barrieron internet en busca de instancias de Fortinet expuestas donde la Interfaz de Gestión de FortiGate se dejó accesible al público. Los datos parecen originarse de exportaciones de configuración de dispositivos, permitiendo a los atacantes extraer y forzar credenciales offline.

Metodología del atacante y escala sin precedentes:

Según el informe de investigación de Diachenko, esta campaña está orquestada por un grupo cibercriminal de habla rusa multi-operador. La huella de la operación es asombrosa: los atacantes ejecutaron un estimado de 1.16 mil millones de intentos de credenciales contra más de 320.000 objetivos FortiGate, junto con 2.1 mil millones de intentos de fuerza bruta dirigidos a más de 160.000 servidores MSSQL.

La metodología del grupo va más allá del simple reutilizo de credenciales. Interceptan activamente hashes de autenticación SSL VPN y los crackean usando un clúster dedicado de 45 GPU gestionado a través de Hashtopolis. Una vez que el perímetro es violado, los operadores pivotan sistemáticamente directamente a entornos internos de Active Directory para establecer persistencia profunda en la red.

Esta metodología agresiva ha llevado a consecuencias graves en el mundo real. La investigación de Diachenko confirmó compromisos completos de red en múltiples organizaciones en Japón, Taiwán, Vietnam, Irak y Turquía. Lo más alarmante: incluye un contratista de defensa de la OTAN en Turquía del que se exfiltraron con éxito documentos de defensa clasificados.

Beaumont nota un contraste marcado entre este incidente y la filtración previa del “Grupo Belsen” de 15.000 dispositivos de un zero-day de 2022. Este conjunto de datos representa compromisos activos y recientes — con muchos de los dispositivos afectados ejecutando parches recientes. Además, Beaumont observó que el formato de los datos filtrados, que categoriza explícitamente a las víctimas por tipo de empresa, ingresos y país, es un sello distintivo de los sindicatos de eCrime que empaquetan acceso inicial para la venta en la dark web.

Como explica Beaumont, los atacantes probablemente explotaron mecanismos de hashing de credenciales más antiguos para lograrlo. Mientras que Fortinet endureció el almacenamiento de credenciales de admin a principios de 2025 migrando a PBKDF2, esta protección solo se aplicaba si los administradores iniciaban sesión activamente después de aplicar las actualizaciones de firmware. En consecuencia, muchos dispositivos continuaron almacenando credenciales usando el formato más antiguo y vulnerable de SHA-256 con Salt, haciéndolos altamente susceptibles al brute-forcing offline una vez extraídos los archivos de configuración.

Recursos afectados

  • Dispositivos firewall y gateway VPN Fortinet FortiGate, especialmente aquellos con la Interfaz de Gestión expuesta a internet público.
  • Dispositivos que no han aplicado las actualizaciones de firmware de principios de 2025 o cuyos administradores no han iniciado sesión nuevamente para activar el re-hashing con PBKDF2.
  • Más de 21.632 dominios afectados en 194 países (con India, Estados Unidos, Taiwán, México y Turquía entre los más impactados).

Análisis técnico

Mitigación / Solución

Para mitigar la campaña FortiBleed y proteger su red contra este vector específico, recomendamos encarecidamente las siguientes acciones inmediatas:

  • Eliminar la exposición a Internet: Asegúrese inmediatamente de que la Interfaz de Gestión de FortiOS no esté expuesta a internet público a menos que sea absolutamente necesario.
  • Forzar rotación de credenciales y actualización de hashing: Actualice a la última versión de FortiOS y haga que todos los administradores inicien sesión nuevamente para forzar al sistema a volver a hashear las contraseñas usando el estándar PBKDF2 más seguro.
  • Asumir compromiso y buscar backdoors: Si observa inicios de sesión exitosos sospechosos en cuentas de admin, asuma que el dispositivo está comprometido. Los atacantes pueden haber alterado los controles de seguridad o creado usuarios backdoor. En casos severos, puede ser necesario reemplazar el dispositivo por completo.
  • Hacer cumplir MFA estricto: Asegúrese de que la Autenticación de Dos Factores se aplique universalmente a todas las gateways externas e interfaces de admin, neutralizando efectivamente la amenaza de contraseñas de texto plano robadas.
  • Monitorear credenciales robadas: Monitoree proactivamente las credenciales de empleados y proveedores externos contra bases de datos de inteligencia de amenazas para atrapar contraseñas comprometidas antes de que se armen contra su perímetro.

Referencias adicionales