La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) instó el jueves a los clientes de Fortinet con dispositivos FortiGate a tomar medidas para protegerse contra la actividad maliciosa en curso dirigida a miles de dispositivos con acceso a Internet.
La amplia campaña, que se cree que es obra de actores de amenazas de habla rusa, ha recibido el nombre en código FortiBleed. El número de dispositivos comprometidos asciende a 86.644 al 19 de junio de 2026.
Según datos de SOCRadar, las cuentas de administrador genéricas (35%) y las cuentas integradas del sistema Fortinet (28,3%) juntas constituyen la mayoría de las credenciales comprometidas. Las cuentas específicas de la organización representan el 36,7% de las credenciales violadas restantes.
«Esto apunta directamente a una falla generalizada a la hora de cambiar el nombre de las cuentas predeterminadas o rotar las credenciales de fábrica, dando al atacante una lista de objetivos altamente confiable antes de que fuera necesaria cualquier fuerza bruta», dijo SOCRadar.
«Las cuentas específicas de organizaciones que encabezan la lista son significativas. Significa que el atacante no solo está recopilando credenciales predeterminadas sino que también ha comprometido con éxito cuentas creadas por las propias organizaciones, posiblemente provenientes de infracciones anteriores donde las contraseñas nunca se cambiaron».
Las telecomunicaciones, el gobierno y la educación se han convertido en los tres sectores más afectados, con la mayor exposición ubicada en India, Estados Unidos, México, Colombia y Tailandia.
Se dice que el actor de amenazas escaneó masivamente Internet en busca de puntos finales de inicio de sesión remoto de Fortinet y luego empleó una herramienta personalizada para rociar esos puntos finales identificados con combinaciones conocidas de inicio de sesión y contraseña en un intento de ingresar a ellos.
El ataque totalmente automatizado se basa en un enfoque autosostenible de dos pasos:
- El actor de amenazas intenta obtener una lista seleccionada de contraseñas de Fortinet filtradas en dispositivos a través de Internet.
- Una vez obtenido el acceso, monitorean pasivamente el tráfico de red que pasa por los dispositivos para recopilar credenciales adicionales, que luego se utilizan para comprometer más dispositivos.
Las credenciales son legítimas y válidas, y los atacantes verifican cada una de ellas antes de agregarlas a una base de datos de inicios de sesión confirmados y funcionales.
«La magnitud de esta violación afecta a casi todos los sectores de la economía global, sin escatimar a ninguna industria», dijo Hudson Rock. «Los actores de amenazas han creado una base de datos verificada de credenciales de trabajo para algunas de las empresas más grandes del planeta».
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) ha descrito FortiBleed como una campaña global dirigida a firewalls Fortinet y puertas de enlace VPN de Internet utilizando métodos como fuerza bruta, ataque de diccionario y relleno de credenciales.
Se sospecha que los actores de la amenaza probablemente explotaron mecanismos de hash de credenciales más antiguos y la forma en que históricamente se han almacenado las credenciales dentro de los archivos de configuración de FortiGate para llevar a cabo el ataque a gran escala.
«Fortinet introdujo el hash de contraseñas basado en PBKDF2 para las credenciales de administrador en FortiOS 7.2.11, 7.4.8 y 7.6.1, reemplazando el mecanismo de almacenamiento heredado basado en SHA-256», dijo Arctic Wolf. «Sin embargo, al actualizar desde versiones anteriores, las contraseñas de administrador existentes permanecen almacenadas como hashes SHA-256 hasta que el administrador correspondiente inicie sesión exitosamente después de la actualización».
«Como resultado, es probable que muchas organizaciones continúen almacenando credenciales de administrador utilizando SHA-256 más antiguo con mecanismos de hash de Salt».
En una declaración compartida con The Hacker News, un portavoz de Fortinet dijo que «los datos involucrados probablemente sean un intercambio de datos de incidentes anteriores, así como fuerza bruta de credenciales, y no están relacionados con ningún incidente o aviso actual», instando a las organizaciones a seguir las mejores prácticas, incluida la rotación periódica de credenciales de seguridad y la habilitación de la autenticación multifactor (MFA).
CISA ha esbozado las siguientes recomendaciones para defenderse de la actividad:
- Termine todas las sesiones administrativas y VPN SSL activas, restablezca todas las contraseñas administrativas y VPN de Fortinet, especialmente en sistemas con acceso a Internet, y aplique políticas de contraseñas seguras.
- Garantice el uso del algoritmo 2 de la función de derivación de claves basada en contraseña (PBKDF2) para almacenar las credenciales de administrador y eliminar los hashes heredados más débiles.
- Revise los registros de firewall, VPN, autenticación y controlador de dominio para detectar signos de acciones sospechosas, incluidos cambios de configuración no autorizados.
- Habilite MFA resistente al phishing en todas las puertas de enlace externas e interfaces administrativas.
- Reduzca la superficie de ataque y bloquee la gestión.
El incidente de FortiBleed salió a la luz por primera vez la semana pasada después de que el investigador de seguridad Volodymyr «Bob» Diachenko descubriera un servidor que contenía la base de datos de credenciales de inicio de sesión en funcionamiento para miles de firewalls y puertas de enlace VPN en 194 países. Según SOCRadar, el servidor también organizó las herramientas y los scripts de automatización del atacante.
Los hallazgos demuestran una vez más cómo la reutilización de credenciales y la mala higiene de las contraseñas pueden ser utilizadas como armas por actores maliciosos, sin mencionar que los dispositivos de seguridad perimetral siguen siendo un objetivo lucrativo para obtener acceso inicial a entornos empresariales.