CISA ha pedido a los clientes de Fortinet que actúen de inmediato tras FortiBleed, una filtración que expuso credenciales vinculadas a unas 74.000 puertas de enlace de firewall y VPN. La información ya se está usando para intentar acceder a dispositivos accesibles desde Internet en organizaciones de todo tipo.
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos, CISA, ha lanzado una advertencia directa a las organizaciones que usan Fortinet: refuercen ya sus dispositivos, porque la filtración FortiBleed ha puesto en circulación credenciales asociadas a miles de equipos expuestos en Internet y ya alimenta campañas de intrusión.
El conjunto de datos relaciona nombres de usuario, correos y contraseñas en texto plano con 73.932 URLs de firewall, un volumen que encaja con alrededor de 74.000 dispositivos, entre ellos FortiGate y pasarelas de VPN. El alcance es global: se mencionan 21.632 dominios únicos y sistemas distribuidos en 194 países. En otras palabras, no se trata de un incidente aislado ni de un sector concreto.
Los atacantes no necesitan explotar un fallo técnico si tienen la llave. En este tipo de escenarios suelen imponerse los ataques basados en credenciales, desde credential stuffing y password spraying hasta fuerza bruta, sobre todo cuando las interfaces de acceso y gestión permanecen visibles desde Internet. De hecho, el patrón descrito apunta precisamente a esa exposición como un factor recurrente. También se han observado intentos a gran escala, con referencias a aproximadamente 1,16 mil millones de intentos de acceso contra objetivos FortiGate, un indicador de presión constante sobre infraestructuras perimetrales.
El origen exacto de los datos todavía no queda claro. Falta por verificar si provienen de vulnerabilidades antiguas, de un fallo nuevo o de accesos obtenidos por otros métodos, pero parte de las credenciales ya se ha comprobado como auténtica y muchos dispositivos afectados continúan accesibles desde Internet. La operación se ha vinculado de forma preliminar a un grupo de habla rusa, aunque esa atribución no se ha confirmado de manera independiente en su totalidad.
Ante el riesgo de intrusión, persistencia y movimiento lateral, la recomendación práctica pasa por cortar de raíz cualquier sesión activa y asumir que las contraseñas han quedado expuestas. CISA pide finalizar todas las sesiones de SSL VPN y las sesiones administrativas, restablecer contraseñas de VPN y de administración, y activar MFA resistente al phishing tanto para accesos administrativos como remotos. También conviene revisar logs y telemetría en busca de accesos no autorizados, comprobar el inventario de cuentas administrativas, eliminar usuarios sospechosos y restringir la superficie de ataque, especialmente evitando la exposición directa a Internet de las interfaces de gestión del firewall.
Si el dispositivo perimetral pudo servir como punto de entrada, el problema rara vez se queda en el propio equipo. En ese caso, la búsqueda proactiva de indicadores de compromiso en Active Directory ayuda a detectar si el atacante dio el salto a la red interna. Y, como medida de higiene adicional, el endurecimiento de credenciales, incluido el uso de esquemas de hash robustos como PBKDF2 cuando encaje en el entorno de gestión, reduce el daño potencial si vuelven a circular datos sensibles.
Más información
- bleepingcomputer.com – CISA warns Fortinet users to secure devices after FortiBleed leak : https://www.bleepingcomputer.com/news/security/cisa-warns-fortinet-users-to-secure-devices-after-fortibleed-leak/
- bleepingcomputer.com – FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. : https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73,000-devices/
- techcrunch.com – Cybercriminals allegedly hacked tens of thousands of Fortinet firewalls used by major companies all over the world : https://techcrunch.com/2026/06/17/cybercriminals-allegedly-hacked-tens-of-thousands-of-fortinet-firewalls-used-by-major-companies-all-over-the-world/
Deja una respuesta