Se ha emitido una alerta de ciberseguridad de máxima prioridad (avalada por agencias gubernamentales como CISA y múltiples CERTs nacionales) debido a una operación global de compromiso masivo denominada FortiBleed. Operada presuntamente por un Corredor de Acceso Inicial (IAB) de origen ruso, la campaña ha logrado vulnerar y extraer credenciales de más de 74,000 dispositivos Fortinet FortiGate expuestos a Internet en 194 países. Para lograrlo y mantener la persistencia, los atacantes emplean una herramienta personalizada en lenguaje Go llamada FortiGateSniffer, que abusa de los comandos de diagnóstico nativos del firewall para interceptar y robar el tráfico de autenticación de forma completamente silenciosa.
Veredicto Analítico
- Estado: Confirmado (Operación masiva reportada por investigadores, CISA y reconocida por Fortinet).
- Confianza: Alta (Basado en la recuperación y verificación de bases de datos de credenciales filtradas y el análisis del malware asociado).
- Riesgo para SOC TDIR: Crítico absoluto. Esta campaña difiere de los ataques de Zero-Day convencionales. Los atacantes utilizan credenciales válidas y herramientas integradas del propio sistema operativo (FortiOS) para expandir su acceso. Esto genera un “punto ciego” casi total para las defensas tradicionales, ya que no hay explotación de vulnerabilidades en curso que active las alertas de red, permitiendo el espionaje y la exfiltración lateral (como ya se ha reportado en contratistas de defensa vinculados a la OTAN).
- Urgencia operativa: Inmediata. Es mandatorio asumir la brecha preventiva si las interfaces de gestión (Management UI / SSH) del dispositivo han estado expuestas a Internet público.
- Base del veredicto: Fuerza bruta híbrida y robo pasivo de credenciales en memoria abusando del comando nativo -diagnose sniffer packet (Credential Harvesting & Packet Sniffing).
Hallazgos Clave
- Alcance de la Operación: Más de 110 millones de credenciales interceptadas históricamente a lo largo de 650 canales de recolección, afectando actualmente a unas 74,000 puertas de enlace (Firewalls/VPNs) de Fortinet.
- Herramienta Ofensiva (FortiGateSniffer): Un binario en Golang diseñado específicamente para dispositivos FortiGate. Su función es inyectarse y aprovecharse del comando de diagnóstico legítimo del sistema para capturar los paquetes de red, filtrando y robando contraseñas y tokens en texto plano mientras los administradores o usuarios de la VPN inician sesión.
- Explotación de Hashes Antiguos: Gran parte del éxito inicial de los atacantes se debe a una falla lógica en la migración de seguridad de Fortinet. Aunque las versiones recientes de FortiOS cambiaron el almacenamiento de contraseñas de SHA-256 (vulnerable a fuerza bruta offline) a PBKDF2 (robusto), esta conversión solo ocurre si el administrador inicia sesión tras la actualización. Los atacantes extrajeron archivos de configuración antiguos para descifrar rápidamente las contraseñas que aún estaban en SHA-256.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: A diferencia de campañas enfocadas en un CVE, FortiBleed inicia mediante la recopilación masiva de IPs que exponen los puertos de administración de Fortinet (443, 4443, 8443, 10443). El atacante logra entrar probando contraseñas extraídas previamente de la Dark Web, empleando relleno de credenciales (Credential Stuffing) o descifrando volcados de configuraciones antiguas.
- Mecanismo de Interceptación: Una vez que obtienen acceso administrativo, despliegan FortiGateSniffer. Al estar basado en el propio comando de troubleshooting de Fortinet, el tráfico interceptado no es bloqueado por el IPS del dispositivo. Las credenciales frescas se envían continuamente a la infraestructura del atacante, neutralizando cualquier rotación futura de contraseñas si el sniffer no es detectado y removido.
TTPs (MITRE ATT&CK)
- Acceso Inicial / Credenciales: Fuerza bruta e inicio de sesión con cuentas válidas (Valid Accounts / Credential Stuffing).
- Colección de Datos: Monitoreo y rastreo de red en el perímetro (Network Sniffing – T1040).
- Persistencia: Implantación oculta de software personalizado para robo a largo plazo (Steal or Forge Authentication Certificates / OS Credential Dumping).
Recomendaciones Operativas
Para Administradores de Red y Seguridad (Acción Inmediata)
- Retirar Exposición a Internet (Prioridad #1): Bloquear el acceso a la Interfaz de Gestión Web y SSH desde Internet. Restrinja la administración usando políticas Local-In (Local-In Policies) para que solo se permita desde subredes de TI internas o mediante una VPN de gestión dedicada (OOB Management).
- Resetear y Terminar Sesiones: Terminar obligatoriamente todas las sesiones administrativas y VPN activas. Forzar el cambio masivo de contraseñas de todos los administradores. Cuidado: Si el equipo ya estaba infectado con FortiGateSniffer, cambiar la contraseña sin sanear el equipo entregará la nueva contraseña al atacante de inmediato.
- Validar Hashes Activos: Asegurarse de ejecutar versiones seguras (como FortiOS 7.4, 7.6 o 8.0) y eliminar las configuraciones de cifrado legado utilizando el comando set login-lockout-upon-weaker-encryption en la consola CLI de Fortinet.
- Obligatoriedad de MFA: Ninguna cuenta (ni de administrador ni de usuario VPN) debe poder iniciar sesión en el perímetro sin Autenticación Multifactor.
Para el SOC (Monitoreo y Detección)
- Auditoría de Cuentas Fantasmas: Analizar exhaustivamente la configuración de administradores del firewall. Buscar y eliminar de inmediato cuentas no reconocidas que a menudo implantan los atacantes, tales como: forticloud, fortiuser, fortinet-support o fortinet-tech-support.
- Cacería en Logs (Threat Hunting): Correlacionar los registros del sistema buscando ejecuciones anómalas del comando de consola diagnose sniffer packet que no correspondan a ventanas de mantenimiento documentadas.
- Rastreo de Accesos Inusuales: Investigar conexiones de inicio de sesión exitoso desde IPs anónimas o geolocalizaciones fuera del país de operaciones normal.
