Un equipo de ciberdelincuentes que trabajan para el Gobierno de China ha logrado tener acceso a más de 20.000 dispositivos VPN vendidos por la empresa Fortinet. La noticia se ha dado a conocer a raíz de un informe emitido por el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC) que alerta, preciamente, de dicha amenaza.

Los ciberdelincuentes chinos habrían explotado una vulnerabilidad de día cero en el firewall FortiGate. La entidad estadounidense dio a conocer la amenaza el 12 de diciembre de 2022, cuando ya había detectado un caso en el que la vulnerabilidad fue explotada en la naturaleza.

Fortinet, como empresa que se dedica al desarrollo y la comercialización de software, dispositivos y servicios de ciberseguridad, se extiende a nivel internacional. De hecho, recientemente, ha alcanzado un acuerdo importante con el FC Barcelona para garantizar la seguridad del Spotify Camp Nou durante tres temporadas, es decir, hasta el 30 de junio de 2028.

El acuerdo permitirá al FC Barcelona utilizar la plataforma Security Fabric de Fortinet, incluyendo firewalls de última generación, acceso de red de confianza cero (Zero Trust Network Access), y seguridad para puntos finales.

Las claves de la vulnerabilidad

La falla de seguridad, identificada como como CVE-2022-42475, se presenta como un desbordamiento de búfer que permite la ejecución remota de código malicioso. Su severidad es de 9,8 sobre 10.

Inicialmente, el NCSC bautizó a este malware como CoatHanger, asegurando que infectó una red informática utilizada por las fuerzas armadas holandesas. No obstante, al tratarse de un sistema independiente, las redes de Defensa del país no se vieron afectadas.

La nueva campaña de ciberdelincuencia china ha sido mucho más severa y extensa, pues el atacante conocía la falla de FortiGate, al menos, dos meses antes de que Fortinet la anunciase públicamente.

Cuando se instala, el malware diseñado para el sistema operativo subyacente FortiOS comienza a actuar y a representar una gran resistencia, incluso ante actualizaciones de firmware. El poder de CoatHanger es tal que, incluso, podría eludir las medidas de detección tradicionales. Pese a todo, el daño fue limitado, ya que las infecciones se contuvieron dentro de un segmento de usos no clasificados.

La evolución del ataque

En un primer momento, solo se vieron afectados 14.000 dispositivos correspondientes a docenas de gobiernos occidentales, organizaciones internacionales y empresas de la industria del sector Defensa.

A posteriori, la instalación de malware por parte de los ciberdelincuentes chinos se extendió a otros objetivos relevantes, obteniendo un peligroso acceso permanente a los sistemas. De este modo, al instalar actualizaciones de seguridad de FortiGate, los ciberdelincuentes seguían teniendo acceso.

Fuera de control

Las investigaciones no han permitido conocer el número de víctimas concretas que llegaron a instalar el malware, aunque NCSC advierte que estas infecciones son difíciles de identificar y de suprimir, incluso contando con el informe técnico sobre la amenaza.

De ahí que NCSC y los servicios de inteligencia de Países Bajos adviertan que es altamente probable que el actor siga teniendo acceso a sistemas de muchas víctimas y que pueda incluso ampliar su alcance a un mayor número de objetivos en todo el mundo.

Medidas para utilizar dispositivos perimetrales

Desde Fortinet recomiendan que se aumente la seguridad en los dispositivos periféricos de acceso público (servidores VPN, enrutadores, firewalls y servidores de correo electrónico). Y es que, de lo contrario, se incrementaría la preocupación al utilizar dispositivos que son un claro objetivo popular para los agentes de malware.

Resulta casi imposible evitar el compromiso inicial de una red de TI, especialmente si el atacante recurre a un día cero. De ahí que las organizaciones deban aplicar el principio de ‘asumir incumplimiento’. Por consiguiente, las diferentes entidades trabajan por tomar medidas efectivas para limitar los daños y el impacto.

Aquí se incluye tomar medidas de mitigación en las áreas de segmentación, detección, planes de respuesta a incidentes y preparación forense. En cualquier caso, tanto Fortinet como NCSC consideran que es altamente probable que el grupo de ciberdelincuentes estatales de China pueda seguir actuando y ampliando el acceso a cientos de víctimas.

¿Y ahora qué?

El problema es realmente la falta de divulgación oportuna de Fortinet, la cual provoca que los usuarios no le den prioridad a la instalación de parches efectivos. Cuando una versión logra corregir errores menores, muchas organizaciones suelen esperar para instalarla de manera definitiva.

Cuando se logra solucionar una vulnerabilidad de clasificación de gravedad 9.8, es más probable que se llegue a acelerar el proceso de actualización. Y esto se debe fundamentalmente al hecho de que la vulnerabilidad estaba siendo explotada antes, incluso, de que Fortinet pudiese solucionarla. De haberse divulgado la solución, la infección no se habría producido.

Los funcionarios de Fortinet no llegaron a explicar por qué no revelaron la vulnerabilidad crítica cuando se solucionó o cuál es la política de empresa en la propia divulgación de vulnerabilidades de seguridad.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre