Los cazadores de amenazas están llamando la atención sobre una nueva campaña que ha tenido como objetivo los dispositivos firewall FortiGate de Fortinet con interfaces de administración expuestas en Internet pública.

Se cree que la actividad maliciosa comenzó a mediados de noviembre de 2024, cuando actores de amenazas desconocidos obtuvieron acceso no autorizado a las interfaces de administración de los firewalls afectados para alterar las configuraciones y extraer credenciales mediante DCSync.

Actualmente no se conoce el vector de acceso inicial exacto, aunque se ha evaluado con «alta confianza» que es probable que esté impulsado por la explotación de una vulnerabilidad de día cero dada la «cronología comprimida en las organizaciones afectadas, así como las versiones de firmware afectadas».

Las versiones de firmware de los dispositivos afectados oscilaban entre 7.0.14 y 7.0.16, que se lanzaron en febrero y octubre de 2024 respectivamente.

Se ha observado que la campaña atravesó cuatro fases de ataque distintas que comenzaron alrededor del 16 de noviembre de 2024, lo que permitió a los actores maliciosos avanzar desde el escaneo y reconocimiento de vulnerabilidades hasta los cambios de configuración y el movimiento lateral.

«Lo que se destaca de estas actividades en contraste con las actividades legítimas del firewall es el hecho de que hicieron un uso extensivo de la interfaz jsconsole desde un puñado de direcciones IP inusuales», dijeron los investigadores de Arctic Wolf.

«Dadas las diferencias sutiles en el oficio y la infraestructura entre las intrusiones, es posible que varias personas o grupos hayan estado involucrados en esta campaña, pero el uso de jsconsole fue un hilo conductor en todos los ámbitos».

En pocas palabras, los ataques digitales implicaron que los atacantes iniciaran sesión en las interfaces de administración del firewall para realizar cambios de configuración, incluida la modificación de la configuración de salida de «estándar» a «más», como parte de los esfuerzos de reconocimiento temprano, antes de realizar cambios más amplios para crear nuevas cuentas de superadministrador a principios de diciembre de 2024.

Se dice que estas cuentas de superadministrador recién creadas se utilizaron posteriormente para configurar hasta seis nuevas cuentas de usuario locales por dispositivo y agregarlas a grupos existentes que habían sido creados previamente por las organizaciones víctimas para el acceso a VPN SSL. En otros incidentes, las cuentas existentes fueron secuestradas y agregadas a grupos con acceso VPN.

La campaña culminó con los adversarios aprovechando el acceso VPN SSL para extraer credenciales para el movimiento lateral utilizando una técnica llamada DCSync. Dicho esto, actualmente no hay visibilidad de sus objetivos finales, ya que fueron purgados de los entornos comprometidos antes de que los ataques pudieran pasar a la siguiente etapa.

Para mitigar dichos riesgos, es esencial que las organizaciones no expongan sus interfaces de administración de firewall a Internet y limiten el acceso a usuarios de confianza.