Los investigadores de Mandiant afirman que un nuevo grupo de amenazas, observado por primera vez el 27 de junio, ha estado explotando un ataque de día cero de Fortinet que el fabricante de dispositivos de red divulgó recientemente. Los investigadores dijeron que no pueden evaluar la motivación o la ubicación del actor de la amenaza.

Hasta el momento, parece que el actor de la amenaza no ha utilizado los datos de configuración de dispositivos robados de Fortinet para adentrarse más en las redes de los objetivos, dijo el miércoles la empresa de inteligencia de amenazas propiedad de Google. Los investigadores dijeron que carecen de datos para evaluar la motivación o la ubicación del actor de la amenaza.

Fortinet dijo que una falla explotada activamente identificada como CVE-2024-47575 en su plataforma de administración centralizada FortiManager permite a piratas informáticos remotos no autenticados ejecutar código o comandos arbitrarios. Las instancias locales y en la nube se ven afectadas. La compañía dijo el miércoles que no ha recibido informes de piratas informáticos que exploten la falla para instalar malware o puertas traseras. "Hasta donde sabemos, no ha habido indicadores de bases de datos modificadas, o conexiones y modificaciones a los dispositivos administrados", dijo un portavoz.

El investigador de ciberseguridad Kevin Beaumont, quien planteó la posibilidad de un nuevo día cero de Fortinet el 13 de octubre, y que ha criticado repetidamente a Fortinet por falta de transparencia, detectó la vulnerabilidad "FortiJump".

La falla, también conocida como FG-IR-24-423, es una vulnerabilidad crítica remota no autenticada con una puntuación CVSS de 9,8. aprovecha una configuración que permite que cualquier dispositivo conocido o desconocido se conecte a FortiManager.

Mandiant dijo que la campaña comenzó con los atacantes enviando mensajes desde una dirección IP identificada. "Aproximadamente al mismo tiempo, el sistema de archivos registró la preparación de varios archivos de configuración de Fortinet en un archivo comprimido con Gzip llamado /tmp/.tm". El archivo contenía archivos, incluida una carpeta de archivos de configuración para dispositivos FortiGate.

Google Mandiant detectó un segundo conjunto de actividades similares en septiembre, aunque no detectó ninguna actividad maliciosa posterior en los dispositivos comprometidos.

Mandiant alertó a Fortinet sobre los incidentes, y publicó el miércoles las medidas correctivas.

Las agencias nacionales de ciberseguridad de todo el mundo instaron a las empresas a protegerse, incluido el Centro de Ciberseguridad de Australia y el Centro Nacional de Ciberseguridad del Reino Unido.

Autor:
Ramon Antonio Vicente Espinal