Más de 15.000 dispositivos FortiGate comprometidos

Sr.M jueves, enero 16, 2025Compartir:

 


Son las 3am, recibes una alerta, todas las páginas de tu empresa muestran un payaso enmascarado riendo, fuiste vulnerado. No solo eso, todas las claves de administración fueron cambiadas, los discos duros cifrados y debes pagar una recompensa para recuperarlos, los respaldos están corruptos. Tienes la certeza absoluta que tu mundo cambió para siempre. 

Alguien tomó el control de tus credenciales y la red de tu Empresa, porque encontró la llave de la puerta, los cortafuegos FortiNet y lleva meses dentro de tu red.

Así puede ser el impacto del CVE-2022-40684, que hace rato cumplió 2 años

La filtración

Hace unos días, un nuevo grupo de delincuentes liberó más de 15.000 archivos de configuración de FortiGate firewall, que incluyen la IP del dispositivo, credenciales de usuarios en texto plano y configuraciones. Para empeorar las cosas, la mayoría de estos dispositivos sigue siendo vulnerable, lo que permite a cualquier cibercriminal tomar control del dispositivo y realizar ataques por escalamiento horizontal, con el fin de tomar y establecer el control dentro de la red víctima. 

 

El archivo filtrado, que pesa alrededor de 1.6 GB, sigue disponible en la dark web, una vez que el nuevo grupo de delincuentes "Belsen Group" anunció su "primera operación oficial" en un foro Telegram donde se publican filtraciones. Cada carpeta dentro del archivo está meticulosamente organizada por país y contiene subcarpetas para cada dirección IP, con archivos "configuration.conf" y "vpn-passwords.txt" lo que revela una planificación meticulosa detrás de esta operación.



Implicaciones para la Seguridad

Este incidente resalta la importancia de mantener actualizados los sistemas y aplicar parches de seguridad apenas son publicados. Por otro lado esta vulnerabilidad crítica conocida como **CVE-2022–40684** pudo ser explotada por más de 2 meses antes de que FortiNet publicaraun parche, lo que pone en evidencia la necesidad urgente de que las organizaciones revisen sus protocolos de seguridad. Pese a existir el parche hace más de 2 años, muchos dispositivos aún podrían estar expuestos si no se han actualizado.


Reflexiones Finales

La filtración del Belsen Group es un recordatorio escalofriante del estado actual del ciberespacio: donde los datos pueden ser fácilmente explotados por aquellos con intenciones maliciosas. La seguridad no es solo una cuestión técnica; es una responsabilidad compartida que requiere vigilancia constante y una respuesta rápida ante cualquier indicio de compromiso.

En este mundo interconectado, donde cada dispositivo puede ser un punto vulnerable, es crucial que tanto las organizaciones como los individuos tomen medidas proactivas para proteger su información y sus redes. 

¿Qué puedo hacer?

Lo primero, verificar de inmediato si soy vulnerable, es rápido y casi indoloro.

Luego parchar y revisar actividad sospechosa.

Verificar (con nmap)

Usando nmap, puedes verificar si tu dispositivo está afectado por CVE-2022-40684 usando el siguiente comando. 

nmap -p80 --script cve_2022_40684.nse [IP_del_dispositivo]

Este comando escaneará el puerto 80 (HTTP) del dispositivo especificado y ejecutará el script diseñado para detectar la vulnerabilidad.




Parchar y revisar

  • Actualizar los sistemas (todos) 
  • Revisar el log en busca de direcciones sospechosas o intentos de acceso a cuentas de administración.
  • Fechas inusuales de cambios en los archivos de configuración
  • Solicitudes en los DNS

Referencias

  • https://unaaldia.hispasec.com/2022/10/vulnerabilidad-en-productos-fortinet-cve-2022-40684.html
  • https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2022-40684
  • https://www.bleepingcomputer.com/news/security/hackers-leak-configs-and-vpn-credentials-for-15-000-fortigate-devices/
  • https://cyberinsider.com/15000-fortigate-firewall-and-vpn-credentials-leaked-by-hackers/


Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!