Los ciberdelincuentes han comprometido decenas de miles de firewalls y VPN de Fortinet utilizados por grandes empresas de todo el mundo, según dos empresas de ciberseguridad.
La campaña de piratería generalizada, en curso y denominada FortiBleed, no parece implicar el abuso de vulnerabilidades desconocidas en dispositivos específicos, sino más bien una cuestión más fundamental: es posible que las empresas no estén cambiando las contraseñas de los firewalls o asegurándose de que los piratas informáticos no conozcan las credenciales que utilizan para los sistemas sensibles expuestos en Internet.
En esta campaña, los piratas informáticos utilizaron por primera vez herramientas automatizadas para escanear Internet en busca de firewalls y VPN de Fortinet expuestos. Luego, ingresan al dispositivo gracias a una lista de contraseñas previamente conocidas. En ese momento, los ciberdelincuentes pueden robar datos más confidenciales de la empresa víctima, es decir, la empresa de ciberseguridad. Roca Hudson Y SOCRadar escribió en su informe que publicaron esta semana.
“Una vez que un dispositivo se ve comprometido, (los piratas informáticos) lo utilizan como puesto de escucha, monitoreando el tráfico que pasa y recopilando cualquier credencial adicional que pase. Las contraseñas recién recopiladas luego se devuelven al escáner para comprometer más dispositivos. El sistema se alimentará a sí mismo”, escribió SOCRadar.
La portavoz de Fortinet, Tiffany Curci, dijo a TechCrunch que la compañía está “consciente de informes de campañas de recopilación de credenciales de terceros dirigidas a firewalls y puertas de enlace VPN de Fortinet”. Fortinet dijo que, según el análisis de la compañía, los datos involucrados eran “compartir datos de incidentes anteriores, así como fuerza bruta de credenciales, y no están relacionados con incidentes o alertas recientes”.
Hudson Rock dijo que encontró evidencia que mostraba que más de 73.000 URL únicas de Fortinet habían sido pirateadas, mientras que SOCRadar dijo que el número total de dispositivos pirateados era más de 30.000.
Según Hudson Rock, las empresas pirateadas incluyen: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens y PwC.
Un portavoz de Lenovo reconoció haber recibido una solicitud de comentarios de TechCrunch pero no respondió. Ninguna de las otras empresas respondió a las solicitudes de comentarios.
Según Hudson Rock y SOCRadar, los países con los dispositivos más afectados son India, Estados Unidos, Taiwán y México. Pero ambas compañías dijeron que hubo víctimas en todo el mundo. Mientras tanto, en el caso de la industria, según Hudson Rock, los más afectados son los servicios informáticos, los materiales de construcción y las telecomunicaciones. Según SOCRadar, las agencias gubernamentales también se encuentran entre las víctimas. Ambas empresas de ciberseguridad dijeron que el grupo detrás de la campaña de piratería parecía ser de habla rusa.
Los informes de Hudson Rock y SOCRadar se basan en el descubrimiento de listas de credenciales para dispositivos Fortinet y empresas relacionadas. Esta campaña de piratería reportado por primera vez por el investigador de seguridad Bob Diachenko durante el fin de semana. Kevin Beaumont, investigador independiente de ciberseguridad dijo en una publicación de blog el miércoles que analizó los datos y confirmó que eran “legítimos”.
En los últimos años, varias campañas de piratería se han dirigido a dispositivos Fortinet y los han comprometido, generalmente abusando de las vulnerabilidades de esos sistemas. En cambio, en este caso, los piratas informáticos se basaron en contraseñas filtradas, un ataque más simple y menos sofisticado.
Actualizado con comentarios de Fortinet.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
