Arctic Wolf ha identificado una campaña de ataque dirigida a firewalls FortiGate con interfaces de administración expuestas. Los atacantes explotaron una vulnerabilidad de día cero para crear nuevas cuentas de administrador y configurar conexiones VPN SSL, logrando acceso como súper administradores.
Es crucial que los administradores revisen la configuración de sus sistemas, apliquen las actualizaciones de seguridad más recientes y restrinjan el acceso a las interfaces de administración para minimizar riesgo.
Desde mediados de noviembre de 2024, se ha detectado una actividad inusual que involucra el uso intensivo de la interfaz «jsconsole» desde direcciones IP sospechosas. Los atacantes aprovecharon esta vulnerabilidad para crear cuentas de administrador y configurar túneles VPN SSL, logrando acceso no autorizado al sistema.
Como parte de la campaña de ataque, Fortinet ha revelado ejemplos de usuarios con nombre aleatorio:
- Gujhmk
- Ed8x4k
- G0xgey
- Pvnw81
- Alg7c4
- Ypda8a
- Kmi8p4
- 1a2n6t
- 8ah1t6
- M4ix9f
Entre los IoC´s reportados se encuentran las siguientes IP:
- 45.55.158.47 [IP más utilizada]
- 87.249.138.47
- 155.133.4.175
- 37.19.196.65
- 149.22.94.37
.
Versiones afectadas:
- FortiOS version 7.0.0 a 7.0.16
.
Solución:
- Actualice a FortiOS versión 7.0.17 o superior
.
Workaround:
- Deshabilitar la interfaz administrativa HTTP/HTTPS
- Limitar las direcciones IP que pueden llegar a la interfaz administrativa.
- Crear «Local In policy» para restringir el acceso solo al grupo predefinido en la interfaz de administración.
- Si utiliza puertos no predeterminados, cree un objeto de servicio apropiado para el acceso administrativo de la GUI.
.
Recomendaciones:
- Restringir los inicios de sesión a hosts confiables.
- Eliminar por completo el acceso de administrador a Internet si no es necesario.
- Implementar al proceso de inicio de sesión el doble factor de autenticación.
.
Referencias: