Una reciente investigación ha revelado una falla de diseño en el sistema de registro de actividad de los servidores VPN de Fortinet que podría ser explotada por cibercriminales para ocultar intentos exitosos de autenticación durante ataques de fuerza bruta. Este descubrimiento plantea serias preocupaciones de seguridad para las organizaciones que confían en esta tecnología.
Si un atacante detiene el proceso después de la autenticación, el servidor solo registra los intentos fallidos, dejando fuera los accesos exitosos. Esto puede crear una falsa sensación de seguridad entre los administradores de sistemas, quienes podrían no detectar credenciales comprometidas en tiempo real.
Cómo los atacantes explotan esta falla
Utilizando herramientas como Burp Suite, investigadores pudieron interceptar y analizar las interacciones entre el cliente y el servidor VPN. Descubrieron que el servidor devuelve un valor (“ret=1”) que confirma la validez de las credenciales en la fase de autenticación, incluso si no se llega a la fase de autorización.
Este comportamiento permite que un atacante valide credenciales correctas sin que los intentos exitosos queden registrados en los logs del sistema. De esta manera:
- Identifican credenciales válidas.
- Ocultan su éxito.
- Dejan evidencia únicamente de los intentos fallidos.
Implicaciones para la ciberseguridad empresarial
La ausencia de registros de intentos exitosos representa un riesgo significativo para la respuesta a incidentes. Los equipos de seguridad solo podrán identificar que su sistema está bajo un ataque de fuerza bruta, pero no tendrán manera de saber si alguna credencial ha sido comprometida.
Las credenciales obtenidas de esta manera podrían ser:
- Vendidas en el mercado negro.
- Utilizadas para un ataque posterior, cuando los administradores ya no estén alerta.
Respuesta de Fortinet y la comunidad
Los investigadores informaron a Fortinet sobre este hallazgo. Sin embargo, Fortinet no considera la falla como una vulnerabilidad crítica y, hasta el momento, no ha indicado si planea solucionarla. Según los mismos, implementar un registro de intentos exitosos en la fase de autenticación sería un ajuste relativamente sencillo.
Investigadores también publicaron un script para demostrar cómo explotar esta falla, lo que aumenta la urgencia de que Fortinet implemente una solución.
Conclusión: ¿Qué deben hacer las organizaciones?
Aunque el problema dificulta la detección de accesos comprometidos, los administradores aún pueden identificar intentos de fuerza bruta monitoreando los registros de intentos fallidos y reforzando las medidas de seguridad, como:
- Habilitar la autenticación multifactor (MFA).
- Implementar límites de intentos fallidos por IP.
- Monitorear activamente los logs en busca de patrones anómalos.
Esta investigación pone de manifiesto la importancia de auditar y mejorar constantemente los sistemas críticos para evitar que fallas de diseño sean un punto de entrada para los cibercriminales.