En este momento, una campaña activa dirigida a dispositivos FortiGate con interfaces de administración expuestas en Internet pública está provocando inicios de sesión administrativos y cambios de configuración no autorizados, creación de nuevas cuentas y realización de autenticaciones SSL VPN.
Los investigadores han descubierto que los atacantes están apuntando a los dispositivos para realizar inicios de sesión administrativos no autorizados y otros cambios de configuración, crear nuevas cuentas y realizar la autenticación SSL VPN.
Los investigadores de Arctic Wolf han estado rastreando la campaña desde que notaron por primera vez actividad sospechosa en los dispositivos FortiGate a principios de diciembre. Observaron que los actores de amenazas obtenían acceso a las interfaces de administración en los firewalls afectados (cuyas versiones de firmware oscilaban entre FortiOS 7.0.0-7.0.16 y FortiProxy 7.0.0-7.2.12) y alteraban sus configuraciones. Además, en los entornos comprometidos, los atacantes también usaban DCSync para extraer credenciales.
Artic Wolf publicó un boletín de seguridad en diciembre tras el descubrimiento de la campaña, mientras que la publicación reciente del blog reveló detalles más detallados, incluidos los atacantes que probablemente explotaron una falla de día cero. Sin embargo, no han «confirmado definitivamente» este vector de acceso inicial, aunque la cronología comprimida en las organizaciones afectadas, así como las versiones de firmware afectadas por la campaña, sugieren que los atacantes están explotando una vulnerabilidad aún no revelada.
Las víctimas de la campaña no representaban un sector específico ni un tamaño de organización, lo que sugiere «que el objetivo era de naturaleza oportunista en lugar de ser un objetivo deliberado y metódico», agregaron.
Lo que alertó a los investigadores sobre la actividad maliciosa «en contraste con las actividades legítimas del firewall, es el hecho de que los atacantes hicieron un uso extensivo de la interfaz jsconsole desde un puñado de direcciones IP inusuales. Los productos de firewall de próxima generación de FortiGate tienen una característica estándar y «cómoda» que permite a los administradores acceder a la interfaz de línea de comandos a través de la interfaz de administración basada en la web, explicaron los investigadores.
Más específicamente, se abrieron conexiones sospechosas desde estas direcciones IP probablemente falsificadas al puerto TCP 8023 (el puerto CLI basado en web en los dispositivos), así como al puerto TCP 9980, que se utiliza para funciones de estructura de seguridad y para enviar consultas de API REST a equipos FortiGate.
«Según la base de conocimientos de FortiGate, cuando se realizan cambios a través de la consola CLI basada en la Web, la interfaz de usuario se registra como jsconsole junto con la dirección IP de origen de quien haya realizado los cambios», escribieron. «Por el contrario, los cambios realizados a través de ssh se enumerarían como ssh para la interfaz de usuario».
Un ciberataque de cuatro fases que aún continúa
Los investigadores dividieron la campaña en cuatro fases que comenzaron a mediados de noviembre: comenzó con una fase de escaneo de vulnerabilidades, seguida de una fase de reconocimiento a fines de noviembre, una fase de configuración de VPN SSL a principios de diciembre y luego concluyó con un movimiento lateral desde mediados hasta fines de diciembre. Sin embargo, señalaron que la campaña está en curso y es posible que descubran más actividad en el futuro.
Por lo general, el recuento total de inicios de sesión exitosos en jsconsole desde direcciones IP anómalas osciló entre varios cientos y varios miles de entradas para cada organización víctima, abarcando las cuatro fases de la campaña. «La mayoría de estas sesiones fueron de corta duración, con eventos de cierre de sesión correspondientes en un segundo o menos», escribieron los investigadores. «En algunos casos, se produjeron varios eventos de inicio o cierre de sesión en el mismo segundo, y se produjeron hasta cuatro eventos por segundo».
¡No exponer las interfaces de gestión a Internet pública!
Los dispositivos Fortinet son un objetivo popular para los actores de amenazas, ya que las vulnerabilidades encontradas en los productos se explotan ampliamente para violar las redes. Para protegerse contra los ataques, las organizaciones nunca deben exponer las interfaces de gestión de dispositivos Fortinet en Internet pública, independientemente de las especificaciones del producto, según los investigadores. En cambio, el acceso a estas interfaces debe limitarse a los usuarios internos de confianza o a IP previamente autorizadas.
Los administradores también deben seguir la mejor práctica común de actualizar periódicamente el firmware de los dispositivos para corregir cualquier falla u otros problemas de seguridad. Además, agregaron los investigadores, las organizaciones también deben asegurarse de que la monitorización de syslog esté configurada para todos los dispositivos de firewall de una organización para aumentar la probabilidad de detectar la actividad maliciosa de forma temprana.
Fortinet confirma un nuevo día cero
Fortinet ha publicado detalles de una nueva vulnerabilidad crítica de omisión de autenticación en FortiOS y FortiProxy (CVE-2024-55591, CVSS: 9,6) que, según afirma, se está utilizando para secuestrar firewall y violar redes empresariales.
«Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo [CWE-288] que afecta a FortiOS y FortiProxy puede permitir que un atacante remoto obtenga privilegios de superadministrador a través de solicitudes diseñadas al módulo websocket de Node.js», dijo la compañía en un aviso publicado hace minutos.
La vulnerabilidad afecta a las siguientes versiones:
- FortiOS 7.0 7.0.0 through 7.0.16 – Upgrade to 7.0.17 or above
- FortiProxy 7.2 7.2.0 through 7.2.12 – Upgrade to 7.2.13 or above
- FortiProxy 7.0 7.0.0 through 7.0.19 – Upgrade to 7.0.20 or above
Para todos los dispositivos de firewall, se recomienda enfáticamente restringir el acceso a la interfaz de administración a redes internas confiables en todas las configuraciones, independientemente del proveedor.
Para los dispositivos de firewall FortiGate, se debe consultar la siguiente documentación para obtener un resumen de las prácticas recomendadas de fortalecimiento de la seguridad: https://docs.fortinet.com/document/fortigate/6.4.0/hardening-your-fortigate/582009/system-administrator-best-practices
El proveedor de seguridad también proporcionó una solución alternativa: deshabilitar la interfaz administrativa HTTP/HTTPS o limite las direcciones IP que pueden llegar a la interfaz administrativa a través de políticas de entrada local o limitar el acceso por IP a la interface administrativa:
config firewall address
edit "my_allowed_addresses"
set subnetend
Fuente y redacción: helpnetsecurity.com