Una operación de recolección de credenciales denominada FortiBleed ha puesto en alerta a organizaciones a nivel global tras la publicación de una base de datos que contiene accesos asociados a dispositivos Fortinet, principalmente firewalls FortiGate y puertas de enlace SSL VPN. Las investigaciones divulgadas por firmas de seguridad como SOCRadar, Hudson Rock y otros investigadores indican que la campaña afectó a decenas de miles de dispositivos distribuidos en numerosos países y sectores.
El investigador de seguridad Volodymyr Diachenko informó sobre el hallazgo de una campaña masiva de fuerza bruta y explotación activa dirigida contra dispositivos Fortinet/FortiGate. Según su análisis, los archivos asociados a la operación contenían miles de instancias de proveedores y organizaciones, con 21.634 nombres de dominio identificados, incluyendo grandes empresas y entidades vinculadas al ecosistema tecnológico.
Diachenko señaló que los datos incluían contraseñas potencialmente válidas para dispositivos FortiGate, obtenidas a partir de configuraciones comprometidas. El investigador indicó que los actores utilizaron técnicas avanzadas de descifrado de hashes para recuperar contraseñas en texto plano desde las configuraciones de Fortinet y posteriormente emplearlas para realizar movimiento dentro de las redes internas y tomar control de sistemas afectados.
Posteriormente, el también especialista de seguridad Kevin Beaumont analizó los datos publicados inicialmente por “Bob” Diachenko y confirmó la legitimidad de la información expuesta. Según Beaumont, el conjunto de datos corresponde a aproximadamente 75 mil dispositivos Fortinet, principalmente firewalls FortiGate, y parece provenir de exportaciones de configuración de los propios equipos, debido a que contiene elementos que solo estarían disponibles desde el dispositivo.
Beaumont indicó que los registros analizados incluyen dispositivos que continúan conectados a Internet y que, en muchos casos, las credenciales asociadas resultaron válidas tras las verificaciones realizadas con organizaciones afectadas.
De acuerdo con el análisis de Beaumont, los atacantes podrían utilizar esta información para iniciar sesión remotamente en los firewalls afectados, modificar configuraciones de seguridad o crear usuarios no autorizados. El investigador explicó que todavía no está confirmado cómo fueron obtenidos los archivos de configuración, aunque señaló que algunos dispositivos podrían haber almacenado contraseñas de administración de una forma susceptible a ataques de fuerza bruta.
Tras las advertencias de los investigadores, las firmas de seguridad comenzaron a publicar sus hallazgos sobre el tema. Un informe elaborado por Hudson Rock identificó que FortiBleed habría expuesto información asociada a 73.932 URL únicas de dispositivos Fortinet vinculadas a 21.632 dominios afectados. En el análisis se indica que los actores realizaron intentos masivos de autenticación contra dispositivos Fortinet y otros sistemas expuestos, utilizando credenciales obtenidas durante la operación. Hudson Rock indicó que la campaña incluyó la extracción de hashes asociados a autenticaciones SSL VPN y procesos de descifrado de contraseñas mediante infraestructura especializada, con el objetivo de identificar accesos válidos que pudieran permitir la intrusión en redes corporativas.
La investigación también documentó que la información expuesta permitía identificar organizaciones afectadas en distintos países y sectores. Según Hudson Rock, entre los datos analizados se encontraron referencias a entidades gubernamentales, instituciones educativas y empresas privadas, evidenciando el alcance internacional de la campaña y el riesgo asociado a dispositivos Fortinet accesibles desde Internet con credenciales comprometidas.
En paralelo, la firma SOCRadar también publicó un informe de seguridad en el que sostiene que los atacantes mantenían infraestructura propia para automatizar la recopilación y validación de credenciales. La compañía señaló que “la operación ha generado una base de datos verificada con más de 86.644 credenciales válidas confirmadas en 194 países, todas recopiladas de la infraestructura de Fortinet con acceso a internet mediante escaneo automatizado, exfiltración de archivos de configuración y descifrado de contraseñas sin conexión basado en GPU”, e indicaron que la operación seguía activa al momento de la publicación.
Las investigaciones señalan que la campaña no se atribuye a una vulnerabilidad nueva en los productos de Fortinet. SOCRadar indicó que no se han encontrado evidencias que sugieran que Fortinet haya sido comprometida o que la actividad esté relacionada con una vulnerabilidad de día cero. El reporte indica “que las credenciales expuestas probablemente se obtuvieron mediante ataques basados en credenciales, incluyendo ataques de fuerza bruta y de relleno de credenciales dirigidos a los servicios de VPN y firewall de Fortinet accesibles desde internet”.
El informe técnico de SOCRadar —Desmantelando FortiBleed— describe una operación compuesta por cinco etapas. Según la investigación, los actores realizaron labores de reconocimiento para identificar dispositivos Fortinet expuestos, ejecutaron campañas de credential stuffing y ataques de fuerza bruta para obtener accesos válidos, desplegaron una herramienta denominada FortiGateSniffer para capturar credenciales y sesiones, utilizaron técnicas de descifrado de contraseñas y movimiento lateral, y finalmente accedieron a archivos y aplicaciones internas mediante el uso de credenciales y cookies de sesión comprometidas.
La magnitud del incidente fue corroborada por la Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA), la cual emitió una alerta pública el pasado 18 de junio. El organismo informó que tenía conocimiento de reportes globales sobre actores maliciosos que habían apuntado a dispositivos Fortinet accesibles desde Internet mediante credenciales comprometidas. CISA indicó que la actividad “implica la exposición de credenciales filtradas asociadas a aproximadamente 74.000 dispositivos Fortinet, incluidos firewalls y pasarelas de red privada virtual (VPN)”, y recomendó finalizar sesiones activas, restablecer contraseñas, reforzar los mecanismos de autenticación y revisar la configuración de almacenamiento de credenciales.
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) también se refirió al incidente y emitió una alerta con recomendaciones en los que se insta a las organizaciones para que utilizan los servicios de Fortinet a que tomen medidas, y listo al menos 9 acciones prioritarias a considerar.
Por su parte, Fortinet sostuvo en su blog este 19 de junio que los datos observados no corresponden a una nueva brecha en sus sistemas. La compañía afirmó que los datos involucrados son una reutilización de información proveniente de incidentes previos, así como del forzado de credenciales, y no están relacionados con ningún incidente o aviso reciente.
La empresa señaló además que “Fortinet ha identificado los sistemas potencialmente comprometidos y estamos contactando proactivamente a los clientes afectados”, y compartió una lista de recomendaciones inmediatos para los clientes con dispositivos FortiGate afectados.
