Filtración masiva de credenciales: 74,000 firewalls Fortinet comprometidos

¿Qué ha ocurrido?

Investigadores de seguridad han descubierto una brecha masiva que afecta a firewalls Fortinet, comprometiendo aproximadamente 74,000 dispositivos en más de 21,000 direcciones IP distribuidas en 194 países. Según Bob Diachenko, jefe de SecurityDiscovery.com, los atacantes, vinculados a grupos de habla rusa, obtuvieron acceso a credenciales en texto plano, así como datos contextuales como industria, ingresos y número de empleados de cada organización comprometida. El investigador Kevin Beaumont confirmó que casi todos los dispositivos seguían en línea y que las credenciales eran reales y actuales, lo que indica que la brecha no ha sido remediada en su mayoría. Entre las víctimas confirmadas se incluyen Oracle, Chevron, Lenovo, Federal Express, un contratista de la OTAN y la propia Fortinet, según reportó Ars Technica. Diachenko accedió al servidor de comando y control de los atacantes para obtener estos datos, lo que revela una operación de inteligencia de amenazas de gran escala.

Importancia del incidente

La escala de este incidente es excepcional: representa aproximadamente la mitad de todos los firewalls Fortinet expuestos en Internet, según datos de Shodan. Los atacantes no solo robaron credenciales, sino que en muchos casos accedieron a sistemas de autenticación centralizados como servidores Radius y Microsoft Active Directory, lo que amplifica el riesgo de movimientos laterales dentro de las redes víctimas. Esto significa que los atacantes podrían haber comprometido no solo los firewalls, sino también la infraestructura de autenticación que controla el acceso a recursos críticos. La exposición de credenciales de organizaciones de alto perfil, como un contratista de la OTAN y empresas Fortune 500, podría tener implicaciones de seguridad nacional y espionaje industrial. Además, la inclusión de Fortinet como víctima sugiere que ni siquiera el fabricante está a salvo de sus propias vulnerabilidades. Este incidente subraya la fragilidad de la seguridad perimetral cuando las credenciales se almacenan en texto plano y no se aplican parches de manera oportuna.

Consecuencias y contexto

Este incidente recuerda a la vulnerabilidad CVE-2022-40684, que afectó a Fortinet en 2022, pero con una magnitud mucho mayor. En aquella ocasión, se explotó una vulnerabilidad crítica en la interfaz de administración de FortiOS que permitía el acceso no autorizado. La brecha actual, aunque no se ha detallado el vector exacto, parece haber sido facilitada por credenciales débiles o por defecto, combinadas con una falta de parches. La exposición de credenciales en texto plano es particularmente grave, ya que permite a los atacantes acceder directamente sin necesidad de explotar vulnerabilidades adicionales. Las organizaciones afectadas deben rotar inmediatamente todas las credenciales expuestas, incluyendo contraseñas de administración, claves de servicios y certificados. Además, deben revisar los registros de acceso en busca de actividad no autorizada y considerar la posibilidad de que los atacantes hayan establecido persistencia. La magnitud de esta brecha podría desencadenar una ola de ataques secundarios, como ransomware o robo de datos, si las víctimas no actúan con rapidez. Desde una perspectiva de mercado, la confianza en Fortinet podría verse afectada, especialmente si se descubre que la empresa no notificó adecuadamente a los clientes o si la vulnerabilidad era conocida pero no se parcheó a tiempo.

¿Qué deben saber los lectores?

Si su organización utiliza firewalls Fortinet, verifique si están parcheados y si las credenciales han sido expuestas. Puede consultar la lista de IPs comprometidas publicada por Diachenko o utilizar herramientas como Shodan para verificar la exposición. Se recomienda habilitar autenticación multifactor en todos los accesos administrativos y monitorear accesos sospechosos. Los usuarios individuales deben cambiar contraseñas en servicios vinculados a estas empresas y estar atentos a phishing, ya que los atacantes podrían utilizar las credenciales robadas para ataques dirigidos. Además, las organizaciones deberían considerar la segmentación de redes y la implementación de principios de mínimo privilegio para limitar el impacto de futuras brechas. Este incidente refuerza la necesidad de una gestión rigurosa de parches y de evitar el almacenamiento de credenciales en texto plano. La colaboración entre investigadores y la comunidad de seguridad es crucial para mitigar los efectos de esta y futuras amenazas.