Vulnerabilidad de omisión de autenticación de Fortinet

El grupo de Ransomware Qilin está explotando dos vulnerabilidades críticas de Fortinet que permiten a los atacantes eludir la autenticación y ejecutar código remoto en sistemas vulnerables.

¿Cuál es la amenaza?

Quilin, conocido también como Phantom Mantis, surgió en agosto de 2022 como una operación de ransomware como servicio (RaaS) bajo el nombre de “Agenda”. Desde su creación, el grupo se ha atribuido la responsabilidad de ataques a más de 310 víctimas. La última campaña de ataque se centra específicamente en vulnerabilidades conocidas, como CVE-2024-21762 y CVE-2024-55591. Así como otras fallas de seguridad detectadas en dispositivos FortiGate. Estas vulnerabilidades sirven como puntos de entrada críticos, lo que permite a los atacantes vulnerar los perímetros de la red e iniciar la implementación de ransomware en los entornos afectados.

¿Por qué es digno de mención?

A diferencia del ransomware tradicional, que a menudo se centra únicamente en cifrar datos para obtener un rescate, el grupo de ransomware Qilin añade un nivel de sofisticacion con sus exploits dirigidos a tecnologías e infraestructuras específicas. Las tácticas observadas en esta campaña reflejan un alto nivel de sofisticacion especialmente en la identificación y explotación de vulnerabilidades en dispositivos de seguridad de red, lo que pone de relieve la creciente capacidad técnica de los operadores de ransomware modernos. Los atacantes explotan fallos específicos en mecanismos de autenticación y gestión de sesiones de FortiGate para obtener acceso no autorizado y mantener presencia persistente en entornos comprometidos, lo que supone un avance significativo en las tácticas de implementación de ransomware.

¿Cuál es la exposición o riesgo?

Los atacantes explotan estas vulnerabilidades de FortiGate para eludir los controles de seguridad perimetral y obtener acceso prioritario a segmentos de la red interna que suelen proteger contra amenazas externas. Además de pérdidas financieras inmediatas, estos ataques exponen a las organizaciones al escrutinio regulatorio, interrupciones operativas prolongadas. Al atacar la infraestructura de red crítica, los atacantes demuestras un profundo conocimiento de las arquitecturas de seguridad empresarial, en particular su capacidad para identificar y explotar puntos únicos de fallo en entornos complejos. Las organizaciones deben tomar medidas proactivas para fortalecer sus defensas contra estas amenazas.

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

• Aplicar todos los parches y actualizaciones relevantes a las vulnerabilidades conocidas, especialmente con soluciones de seguridad de red.
• Deshabilite o restrinja el acceso a la interfaz administrativa mediante políticas locales y asegúrese de que las interfaces de administración del firewall no sean accesibles a través de internet publico.
• Supervise los registros para detectar inicios de sesión no autorizados, creación de cuentas fraudulentas y cambios de políticas inesperados.
• Deshabilita la funcionalidad SSL-VPN si aún no se han aplicado los parches relevantes.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR