Fortinet Bajo Crítica: Una Vulnerabilidad de Día Cero No Revelada a Tiempo Pone en Riesgo Infraestructura Crítica

Fortinet, una de las principales empresas de seguridad informática, se encuentra en el centro de la controversia por no haber divulgado una vulnerabilidad de día cero que ha sido explotada activamente durante más de una semana. A pesar de los informes que indican que los atacantes están utilizando esta vulnerabilidad para ejecutar código malicioso en servidores que administran infraestructura crítica, la empresa no ha emitido aún un comunicado oficial sobre la amenaza ni ha especificado qué software está afectado.

Este silencio de Fortinet ha generado preocupación entre los usuarios y expertos en ciberseguridad, quienes han recurrido a las redes sociales para intercambiar información y teorías sobre el alcance del problema. A falta de datos oficiales, las discusiones en plataformas como Reddit han sido una fuente clave de información.

¿Qué Se Sabe Sobre la Vulnerabilidad?

Según informes compartidos en Reddit, la vulnerabilidad afecta a FortiManager, un software utilizado para administrar dispositivos de red Fortinet, como cortafuegos y routers. Las versiones afectadas incluyen:

• 7.6.0 y anteriores.
• 7.4.4 y siguientes.
• 7.2.7 y siguientes.
• 7.0.12 y anteriores.
• 6.4.14 y siguientes.

Los administradores que utilizan estas versiones del software se encuentran en riesgo, y se recomienda encarecidamente instalar las actualizaciones a las versiones 7.6.1, 7.4.5, 7.2.8, 7.0.13 o 6.4.15 para mitigar los riesgos.

Adicionalmente, se informa que la versión en la nube del software, FortiManager Cloud, también podría ser vulnerable a los ataques, lo que extiende el alcance potencial de la amenaza a empresas que dependen de soluciones basadas en la nube.

El Silencio de Fortinet: Práctica Común o Falta de Transparencia

Uno de los aspectos más polémicos del incidente es el silencio de Fortinet. La empresa ha sido criticada anteriormente por mantener en secreto vulnerabilidades críticas que se han utilizado para atacar a sus clientes. En este caso, Fortinet no ha notificado públicamente la vulnerabilidad, ni ha registrado el problema en la base de datos de vulnerabilidades CVE (Common Vulnerabilities and Exposures), lo que complica aún más la tarea de seguimiento de la amenaza.

Si bien algunos administradores de redes basadas en FortiGate informaron haber recibido notificaciones recomendando actualizaciones de seguridad, otros usuarios no han sido advertidos. Esta falta de comunicación clara y uniforme aumenta la incertidumbre y expone a las organizaciones a posibles ataques mientras no se aborden las debilidades de seguridad.

¿Cómo Funciona la Vulnerabilidad?

El investigador de seguridad Kevin Beaumont proporcionó algunos detalles sobre el funcionamiento de la vulnerabilidad. Según Beaumont, el problema está relacionado con la configuración predeterminada en FortiManager, que permite a los administradores registrar dispositivos de red utilizando números de serie no verificados. Este defecto de configuración permite a los atacantes aprovecharse de la vulnerabilidad.

Beaumont explicó que los piratas informáticos registran dispositivos falsos utilizando nombres como “localhost”, y luego aprovechan esta brecha para ejecutar código remoto en FortiManager. Una vez que logran acceder a la plataforma de gestión, pueden controlar dispositivos de red reales, modificar configuraciones y sincronizar datos de autorización. Esto otorga a los atacantes un acceso significativo a las redes administradas, lo que compromete gravemente la seguridad de las organizaciones afectadas.

Además, se ha informado que la vulnerabilidad podría permitir a los atacantes robar certificados de autenticación, lo que les permite registrar dispositivos falsos con FortiManager y obtener acceso a redes corporativas. Esto representa un gran desafío para los defensores de la red, ya que incluso un dispositivo aparentemente legítimo, con un certificado válido, puede ser utilizado para ejecutar un ataque.

Ataques en Progreso y la Posible Implicación de Actores Estatales

Beaumont también sugirió que actores estatales, posiblemente ciberdelincuentes chinos, podrían haber estado utilizando esta vulnerabilidad para infiltrarse en redes corporativas desde principios de año. Según sus informes, más de 60,000 conexiones al protocolo Fortinet FGFM (utilizado para la comunicación entre FortiGate y FortiManager) están expuestas públicamente en Internet. Este protocolo vulnerable aumenta considerablemente los riesgos, ya que permite a los atacantes usar certificados de FortiGate para registrar dispositivos falsos y luego ejecutar código malicioso en FortiManager.

Una vez dentro de FortiManager, los atacantes pueden modificar configuraciones críticas, extraer contraseñas y penetrar en las redes de usuarios finales. Esto abre la puerta a ataques de gran escala, especialmente contra infraestructura crítica.

La situación se complica aún más debido a las dificultades que algunos usuarios han encontrado para acceder al portal de soporte de Fortinet, lo que ha generado especulaciones de que la empresa podría estar intentando controlar la difusión de información relacionada con la vulnerabilidad.

¿Qué Pueden Hacer las Empresas Afectadas?

Ante la falta de comunicación oficial por parte de Fortinet, los administradores de red y profesionales de la ciberseguridad deben tomar medidas proactivas para proteger sus sistemas. Algunas recomendaciones incluyen:

1. Actualizar FortiManager: Instalar de inmediato las versiones recomendadas (7.6.1, 7.4.5, 7.2.8, 7.0.13 o 6.4.15) para cerrar la vulnerabilidad.
2. Revisar Configuraciones de Seguridad: Verificar que la configuración de FortiManager no permita el registro de dispositivos con números de serie no verificados. Cambiar las configuraciones predeterminadas vulnerables.
3. Supervisar el Tráfico de Red: Monitorear el tráfico entrante y saliente en el puerto utilizado por el protocolo FGFM para detectar cualquier actividad sospechosa o intentos de registro de dispositivos no autorizados.
4. Auditar Certificados de Dispositivos: Revisar los certificados utilizados por los dispositivos registrados en FortiManager y asegurarse de que no haya certificados sospechosos o no autorizados.
5. Establecer Canales de Comunicación: Dado el silencio de Fortinet, es crucial que las organizaciones establezcan canales de comunicación entre administradores de red para compartir actualizaciones e información crítica sobre vulnerabilidades de este tipo.

La falta de transparencia por parte de Fortinet en torno a la vulnerabilidad de día cero que afecta a FortiManager ha generado una gran preocupación entre los usuarios y expertos en ciberseguridad. A pesar de la explotación activa de la vulnerabilidad por parte de actores maliciosos, la empresa aún no ha emitido una advertencia pública clara ni ha registrado el problema en las bases de datos de vulnerabilidades.

Este incidente subraya la importancia de una comunicación clara y oportuna por parte de las empresas de seguridad informática cuando se descubren vulnerabilidades críticas. La transparencia y la acción rápida son esenciales para proteger las redes y sistemas críticos en un entorno donde las amenazas están en constante evolución.

Fuente: Reddit

#cybersecurity ? #Fortinet ?️ #zeroday ?️‍♂️ #vulnerability ? #FortiManager ? #infosec ? #networksecurity ?️ #cloudsecurity ☁️ #criticalinfrastructure ?️ #KevinBeaumont ?‍?