Una campaña de ciberespionaje a gran escala denominada FortiBleed ha comprometido más de 73,932 direcciones URL de firewalls Fortinet en 194 países. Atacantes asociados a un grupo de ciberdelincuentes rusoparlantes han explotado credenciales robadas de infostealers para acceder a dispositivos FortiGate y gateways SSL VPN, pivotando hacia entornos Active Directory internos. La técnica clave incluye la interceptación de hashes de autenticación SSL VPN, descifrados mediante un cluster de 45 GPU. Sectores como defensa, manufactura y servicios profesionales han sido afectados, incluyendo filtraciones en contratistas de la OTAN.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Fortinet | FortiGate | Interfaz de administración y SSL VPN | Todas las versiones (sin parche específico) |
| Fortinet | FortiOS | Módulo de autenticación SSL VPN | Todas las versiones (sin parche específico) |
Solución
Implementar Multi-Factor Authentication (MFA) en todos los accesos remotos y rotar inmediatamente todas las credenciales de administración de Fortinet, independientemente de su complejidad.
Recomendaciones
Priorizar la aplicación de MFA en gateways SSL VPN y firewalls Fortinet. Auditar logs de acceso para detectar sesiones sospechosas y restringir el acceso a la interfaz de administración mediante políticas local-in que limiten IPs autorizadas. Evaluar la exposición de servicios FortiCloud SSO y desactivarlos si no son esenciales. Fortinet recomienda revisar el análisis técnico oficial para detalles adicionales.