El mecanismo del ataque implicó la explotación de estas vulnerabilidades, que permitieron a los atacantes comprometer los dispositivos y crear un enlace simbólico en una carpeta utilizada para almacenar archivos de idioma. Este acceso proporcionó la posibilidad de leer el sistema de archivos y acceder a la configuración completa del dispositivo sin necesidad de autenticación. A pesar de que Fortinet lanzó parches para mitigar las vulnerabilidades, el enlace simbólico persistió, lo que significa que la amenaza no se eliminó completamente.
La Fundación Shadowserver ha identificado miles de dispositivos comprometidos en todo el mundo, con un pico de hasta 840 dispositivos en Austria. La situación ha sido monitoreada de cerca por las autoridades locales, y se ha evaluado que los ataques podrían haber ocurrido incluso a principios de 2023. Cert.at, una agencia austriaca, fue informada sobre el incidente por un tercero y ha estado alertando a los operadores de red desde febrero sobre las vulnerabilidades y las medidas de mitigación.
Se estima que todos los dispositivos FortiGate que han tenido habilitada la función SSL VPN y que son vulnerables a alguna de las fallas mencionadas están en riesgo. Fortinet ha contactado a sus clientes activos y ha proporcionado pautas de mitigación, sugiriendo que si un dispositivo ha sido comprometido, se inicie una respuesta de incidentes.
Entre las medidas de mitigación que Fortinet ha lanzado se incluyen: la actualización de las firmas antivirus y sistemas de prevención de intrusos (AV/IPS) para marcar el enlace simbólico malicioso en dispositivos con direcciones IP activas, así como versiones actualizadas de Fortios, que eliminan el acceso no autorizado del enlace simbólico.
Se recomienda que los administradores de dispositivos FortiGate mantengan su firmware actualizado, ya que esto puede contrarrestar los efectos de la explotación por parte de los atacantes. Adicionalmente, para las organizaciones que todavía dependen de la función SSL VPN, se aconseja considerar una migración a métodos de acceso remoto más seguros como IPSec o VPN de acceso telefónico. Fortinet ofrece guías para facilitar esta migración, lo que puede ser una solución a largo plazo ante el historial de problemas de seguridad asociados con SSL VPN.
En conclusión, la explotación de las vulnerabilidades en los dispositivos FortiGate representa una seria amenaza para la seguridad de las redes corporativas. La capacidad de los atacantes para obtener acceso de solo lectura a configuraciones críticas pone de manifiesto la necesidad urgente de que las organizaciones implementen medidas de seguridad robustas y actualicen sus sistemas para prevenir cualquier acceso no autorizado. La migración a tecnologías más seguras debería ser una prioridad para aquellas que aún confían en sistemas que han demostrado ser vulnerables.
Estas acciones y la conciencia constante de amenazas son esenciales para garantizar la integridad y seguridad de la infraestructura tecnológica de las organizaciones en un entorno como el actual, donde las ciberamenazas son cada vez más sofisticadas y prevalentes.
Enlace de la fuente, haz clic para tener más información