FortiBleed: Cómo 74,000 firewalls de Fortinet se convirtieron en una puerta abierta para los hackers
TL;DR
FortiBleed: Cómo 74,000 firewalls de Fortinet se convirtieron en una puerta abierta para los hackers
El mundo de la ciberseguridad está conmocionado por "FortiBleed", una campaña masiva de recolección de credenciales que ha entregado efectivamente las llaves del reino a los ciberdelincuentes. No estamos hablando de un fallo menor; estamos ante 73,932 sistemas de firewall FortiGate de Fortinet en 194 países cuyas credenciales administrativas y de VPN han quedado expuestas. Desde agencias gubernamentales hasta grandes corporaciones multinacionales, las consecuencias son asombrosas. Datos de configuración confidenciales y tokens de autenticación se están intercambiando actualmente como cromos en foros criminales.
¿Quién está detrás de esta operación? Un grupo de amenazas de habla rusa que no solo se encontró con estas credenciales por casualidad: construyeron un equipo de cracking offline de alta potencia con 45 GPU específicamente para descifrar hashes de autenticación SSL VPN interceptados. Investigadores de seguridad de Bitsight han confirmado que esto no es solo teoría. Hackers oportunistas y actores sofisticados patrocinados por estados ya están utilizando estos datos para irrumpir en entornos internos de Active Directory.
El "pecado original" técnico
En el corazón del desastre de FortiBleed se encuentra la forma en que las versiones antiguas de FortiOS manejaban el hashing de contraseñas. Resulta que, incluso después de aplicar actualizaciones de firmware, las contraseñas de administrador a menudo permanecían en el sistema como hashes SHA-256 débiles. Estos no se actualizaban automáticamente al estándar PBKDF2, mucho más robusto, hasta que el usuario iniciaba sesión físicamente. Esa pequeña brecha —esa ventana de "espera de inicio de sesión"— dio a los atacantes todo el tiempo necesario para recopilar los hashes y descifrarlos a su antojo.
La escala es, francamente, nauseabunda. Estos actores lanzaron más de 1.16 mil millones de intentos de credenciales contra objetivos FortiGate, con otros 2.1 mil millones dirigidos a sistemas MSSQL. Con ese clúster de 45 GPU funcionando en segundo plano, validaron con éxito credenciales para 73,932 URL de firewall únicas en más de 21,600 dominios distintos. Los datos son reales y peligrosos. Investigadores como Hudson Rock han estado rastreando la propagación, y el consenso es claro: la exposición es generalizada y sistémica.
¿Quién está en la mira?
Aproximadamente la mitad de todas las unidades FortiGate accesibles desde Internet a nivel mundial están involucradas. La lista de víctimas parece un quién es quién de Fortune 500: Samsung, Siemens y Oracle están en la mezcla, junto con varios organismos gubernamentales. En un incidente particularmente escalofriante, los atacantes utilizaron estas credenciales robadas para infiltrarse en la red de un contratista de defensa de la OTAN, llevándose documentos clasificados confidenciales.
Una vez dentro, no se quedan quietos. Están desplegando un kit de herramientas estándar diseñado para mantener la persistencia y mapear la red interna. Si eres administrador de sistemas, estos son los nombres que debes buscar:
- Chisel: Un túnel TCP/UDP rápido sobre HTTP que hace que evadir las restricciones del firewall parezca un juego de niños.
- Neo-reGeorg: Una web shell peligrosa utilizada para pivotar y realizar reconocimientos profundos.
- EternalBlue: La opción clásica para moverse lateralmente y escalar privilegios una vez que han encontrado un punto de apoyo.
| Métrica | Detalle |
|---|---|
| Dispositivos afectados | 73,932 URL de FortiGate únicas |
| Alcance global | 194 países |
| Vulnerabilidad principal | Hashing de contraseñas SHA-256 débil |
| Infraestructura de ataque | Clúster de 45 GPU |
| Actividad observada | Exfiltración activa de datos de AD interno |
Limpiando el desastre
Si utilizas FortiGate, debes verificar el estado de tu firmware de inmediato. La vulnerabilidad afecta a dispositivos que ejecutan versiones de FortiOS anteriores a 7.2.11, 7.4.8 y 7.6.1. No te quedes solo con nuestra palabra; revisa los feeds de inteligencia de ciberamenazas para ver si tu infraestructura ya es parte de los conjuntos de datos filtrados que circulan en línea.
La solución es sencilla pero requiere mucho trabajo: actualiza tu firmware a las versiones parcheadas más recientes. Estas versiones fuerzan el cambio a un hashing de contraseñas más fuerte. Además, debes auditar tus cuentas de administrador y los registros de VPN en busca de cualquier actividad sospechosa. Como ha señalado Recorded Future, estos actores no van a desaparecer. Debes rotar todas tus credenciales y aplicar la autenticación multifactor (MFA) en cada interfaz de gestión expuesta a la Internet pública.
El descubrimiento del servidor que albergaba esta lista masiva de credenciales se atribuye al investigador Volodymyr "Bob" Diachenko. Su trabajo subraya una realidad brutal: confiar en métodos de hashing heredados en equipos de nivel empresarial es una receta para el desastre. Si tu dispositivo FortiGate expuesto a Internet no se ha actualizado recientemente, debes asumir que ya está comprometido.
La campaña es fluida. Estos grupos cambian de táctica en cuanto sienten presión. Tu mejor defensa es un ciclo implacable de parches y una vigilancia paranoica sobre el tráfico de tu red. Mantente atento a Chisel o Neo-reGeorg, monitorea tu tráfico saliente en busca de anomalías y vigila cualquier signo de movimiento lateral. Tras una filtración de este tamaño, la seguridad "suficientemente buena" ya no es suficiente.
