Un firewall que leía su propio tráfico
El detalle que separa a FortiBleed de un aviso rutinario es el origen de las credenciales. Una herramienta a medida que los investigadores llaman FortigateSniffer abusa del propio comando de diagnóstico de paquetes integrado en FortiOS, la misma función que un administrador usa para solucionar problemas, para interceptar de forma pasiva el tráfico de autenticación en cerca de dos docenas de protocolos. No hace falta ninguna vulnerabilidad nueva. El dispositivo vendido para vigilar el perímetro se convirtió en el instrumento que leía los inicios de sesión que lo cruzaban.
SOCRadar siguió la operación hasta el terreno del ransomware tras hallar a un único operador conectado a la vez a los paneles de negociación de INC Ransom y de Lynx. CISA instó a las organizaciones a reforzar los dispositivos Fortinet el 18 de junio, tras los primeros informes de exposición de credenciales, y el propio equipo de seguridad de producto de Fortinet publicó un análisis del compromiso.
Las cifras detrás de la campaña
Los primeros informes de Recorded Future y Help Net Security situaron la exposición cerca de 74.000 sistemas FortiGate. Un análisis posterior de SOCRadar amplió el cuadro a 430.000 dispositivos atacados, aproximadamente la mitad de todo el hardware Fortinet expuesto a internet, y 86.644 credenciales válidas verificadas repartidas en 194 países. El cruce de los servidores de FortiBleed con un directorio abierto separado vinculado a INC encontró las mismas organizaciones víctima en ambos conjuntos de datos, la firma de una cadena de suministro compartida.
Al menos 12 despliegues de ransomware confirmados ya se remontan directamente al acceso de FortiBleed, con cientos de endpoints cifrados. INC Ransom está activo desde julio de 2023 y ha reclamado más de 800 víctimas, lo que lo convierte en una de las operaciones de ransomware como servicio más prolíficas por conteo confirmado. La cosecha de credenciales no es un aviso de lo que podría pasar; es el frente de ataques que ya han ocurrido.
Parchear no es la solución esta vez
Como la entrada es una credencial válida y no un fallo sin parchear, el reflejo habitual falla. Un FortiGate con el último firmware y una cuenta VPN expuesta sigue siendo una puerta abierta, y permanece abierta hasta que esa cuenta se rota. Las acciones necesarias son la rotación de credenciales en cada cuenta de firewall y VPN, la autenticación multifactor aplicada al acceso remoto y la captura de paquetes de diagnóstico desactivada o vigilada de cerca allí donde no se necesita.
La suposición segura para cualquier dispositivo del conjunto expuesto es que sus credenciales se han filtrado y debe tratarse como comprometido hasta que se demuestre lo contrario. Eso reencuadra el trabajo, de un ciclo de parches a una limpieza de identidades, que es más lenta, menos gratificante y lo único que de verdad cierra la puerta.
Bajo NIS2 el reloj es tuyo
Para los operadores europeos el filo regulatorio es afilado. Bajo NIS2, un incidente que llega a tu red a través de un dispositivo de borde de un tercero es tu evento notificable, con una alerta temprana en un plazo de 24 horas y una notificación más completa en 72. Las firmas financieras cargan con las obligaciones paralelas de DORA. La responsabilidad no recae en Fortinet ni en el grupo de ransomware; recae en la organización que sufrió la brecha.
El KPI que importa ahora no es si el firewall está parcheado, sino la rapidez con que puede rotarse cada credencial que contiene. Los equipos que ya asumen que sus inicios de sesión de borde se han filtrado, y pueden demostrar rotación y MFA cuando se les pida, son los que no leerán su propio nombre en la próxima publicación de ransomware.
Leer a continuación: Un token falso abre cada PC que gestiona la herramienta | Una IA ejecuto solo todo un ataque de ransomware



