Más de 16,000 dispositivos Fortinet comprometidos con un nuevo backdoor basado en symlink
Un análisis reciente ha revelado que más de 16,000 dispositivos Fortinet expuestos a Internet han sido comprometidos mediante un nuevo tipo de backdoor que utiliza enlaces simbólicos (symlinks) para obtener acceso de solo lectura a archivos sensibles. Este ataque aprovecha vulnerabilidades conocidas en dispositivos no parcheados, lo que subraya la importancia crítica de mantener los sistemas actualizados.
Detalles técnicos del backdoor
El backdoor identificado opera mediante la creación de symlinks que redirigen a archivos críticos del sistema, permitiendo a los atacantes acceder a información sensible sin necesidad de modificar los archivos originales. Entre los datos expuestos se incluyen:
- Archivos de configuración del dispositivo
- Credenciales almacenadas
- Registros de actividad del sistema
- Información de red interna
Este método es particularmente peligroso porque:
- No modifica los archivos originales, dificultando su detección
- Permite el acceso persistente incluso después de reinicios del sistema
- Puede servir como punto de entrada para ataques más sofisticados
Dispositivos afectados y vectores de ataque
Los dispositivos comprometidos son principalmente firewalls FortiGate con versiones vulnerables del firmware. Los atacantes han explotado vulnerabilidades conocidas como CVE-2022-40684 (autenticación bypass) y CVE-2023-27997 (ejecución remota de código).
Según los investigadores, el ataque sigue este patrón:
- Escaneo de dispositivos Fortinet expuestos a Internet
- Explotación de vulnerabilidades no parcheadas
- Instalación del backdoor mediante symlinks
- Establecimiento de acceso persistente
Implicaciones para la seguridad
Este incidente tiene importantes consecuencias para la seguridad de las organizaciones:
- Exposición prolongada de información sensible
- Riesgo de escalamiento de privilegios dentro de la red
- Posibilidad de exfiltración de datos a gran escala
- Potencial para ataques de cadena de suministro
Recomendaciones de mitigación
Para protegerse contra esta amenaza, se recomienda:
- Aplicar inmediatamente los últimos parches de seguridad de Fortinet
- Restringir el acceso administrativo a los dispositivos Fortinet
- Implementar monitoreo continuo de archivos críticos
- Auditar regularmente los permisos de archivos y directorios
- Considerar el uso de soluciones EDR/XDR para detectar comportamientos anómalos
Para más detalles sobre este incidente, consulta la Fuente original.
Conclusiones
Este caso demuestra la evolución continua de las técnicas de ataque contra dispositivos de red críticos. Los actores maliciosos están desarrollando métodos cada vez más sofisticados para mantener el acceso a sistemas comprometidos, incluso cuando se aplican medidas de seguridad básicas. La combinación de actualizaciones oportunas, configuración segura y monitoreo proactivo sigue siendo la mejor defensa contra estas amenazas.
