El FBI y la CISA advierten de que grupos APT podrían estar explotando de manera activa algunas vulnerabilidades existentes en Fortinet FortiOS, estando éstas directamente relacionadas con el servicio VPN de la compañía.
Ambas agencias han emitido un comunicado conjunto en el que detallan los fallos que están siendo explotados, y atendiendo a cuando estos CVE fueron publicados, cabe resaltar una vez más la importancia de mantener actualizadas las herramientas que utilizamos:
- CVE-2018-13379: un atacante puede descargar archivos del sistema diseñando peticiones de recursos HTTP especiales, aprovechando una vulnerabilidad path-traversal. Esta vulnerabilidad ya fue aprovechada en noviembre de 2020 para hacer un filtrado masivo de datos sensibles.
- CVE-2019-5591: un atacante en la misma subred puede capturar información sensible al hacerse pasar por el servidor LDAP legítimo. Esto se debe a un fallo en la configuración por defecto.
- CVE-2020-12812: se trata de un fallo de autenticación en FortiOS SSL VPN que permite a cualquier usuario iniciar sesión sin necesidad de FortiToken (el segundo factor de autenticación).
FBI y CISA informaron de que los atacantes del grupo APT involucrado (sobre el que no dieron información) escanean específicamente los puertos 4443, 8443 y 10443 de los dispositivos en busca de versiones de Fortinet desactualizadas. Es conocido que este tipo de grupos se caracteriza por llevar a cabo ataques distribuidos de denegación de servicio (DDoS), ataques de ransomware, campañas de spear-phishing, ataques de inyección SQL, campañas de desinformación, defacements de páginas web, etc.
Los atacantes podrían utilizar las vulnerabilidades mencionadas para ganar un acceso inicial a entidades gubernamentales, tecnológicas y diferentes comercios, para así llevar a cabo ataques más sofisticados posteriormente, como los mencionados en el párrafo anterior.
Con respecto al ataque, Fortinet se ha pronunciado y en un comunicado por email explicaba que desde la compañía han estado en contacto continuo con sus clientes, a quienes avisaron en cada momento de las vulnerabilidades existentes y de sus respectivos parches.
A pesar de que con el aumento del teletrabajo se ha incrementado, asimismo, el uso de VPN, pudiendo suponer la actualización de la misma algo complicado para la empresa (ya que parchear estas vulnerabilidades requiere cambios en la configuración), el coste de un ataque por parte de este tipo de grupos es mucho más elevado, por lo que se recomienda a todas las entidades afectadas actualizar la herramienta lo antes posible. Esto mismo recomendaban FBI y CISA, enfatizando asimismo la necesidad de realizar copias de seguridad, implementar un plan de recuperación, usar factores de multiautenticación cuando sea posible, deshabilitar los puertos de acceso remoto (RDP) que no estén siendo utilizados y monitorizar los logs de aquellos que sí lo están.
Más información
Hackers exploiting critical vulnerabilities in Fortinet VPN – FBI-CISA
Feds say hackers are likely exploiting critical Fortinet VPN vulnerabilities
Hackers are actively targeting FortiOS vulnerabilities, warn FBI and CISA
