Filtración FortiBleed expone credenciales de 75 mil firewalls Fortinet en 194 países

La base con credenciales para 73.932 firewalls Fortinet repartidos en 194 países comenzó a circular el 18 de junio, según el relato del investigador ucraniano Volodymyr "Bob" Diachenko, quien identificó el servidor. El conjunto incluye usuarios, correos electrónicos y contraseñas en texto plano de dispositivos FortiGate y gateways VPN, y más de 21 mil dominios corporativos figuran en la lista. Aparecieron nombres como Oracle, Chevron, Lenovo, FedEx, Foxconn, Samsung, Comcast, Siemens, DHL, Infosys, PwC, Accenture y un contratista de defensa de la OTAN.

La campaña, denominada FortiBleed por los primeros informes, fue atribuida a un grupo de delincuentes de habla rusa. Los analistas que tuvieron acceso al material describen 1,16 mil millones de intentos de credenciales contra 320.777 objetivos FortiGate, sumados a otros 2,1 mil millones de ataques de fuerza bruta contra 163.650 instancias de Microsoft SQL Server.

La respuesta de Fortinet y de la CISA

Fortinet emitió un comunicado diciendo estar al tanto de la "campaña de recolección de credenciales por terceros que apunta a firewalls y gateways VPN de Fortinet". La empresa atribuye el material a "una reutilización de datos de incidentes anteriores, sumada a credenciales obtenidas por fuerza bruta", y niega que exista alguna falla nueva en el producto. "Hasta el momento, no hemos encontrado indicios de que Fortinet haya sido comprometida o de que esta actividad esté relacionada con un zero-day", afirmó la empresa en un comunicado público.

La Agencia de Seguridad Cibernética e Infraestructura (CISA), el mismo 18 de junio, emitió una alerta para que las organizaciones federales y privadas de EE. UU. refuercen sus instalaciones Fortinet expuestas a Internet. El Centro de Coordinación de Ciberseguridad de Hong Kong (HKCERT) lanzó un aviso simultáneo, citando el riesgo para las empresas locales. A pesar de que Fortinet rechaza la etiqueta de zero-day, la cantidad de credenciales en texto plano funcionando hoy es lo que asusta a los equipos de SOC: cada par usuario-contraseña válido es una puerta abierta mientras la contraseña no sea cambiada.

Por qué esta filtración es diferente

El FortiBleed importa menos por el método y más por la escala de la mezcla entre administración y VPN. En firewalls de borde, el mismo conjunto de credenciales puede abrir la consola del dispositivo y el túnel que transporta tráfico corporativo. Para una multinacional con oficinas en decenas de países, esto convierte un único firewall comprometido en un puente hacia toda la red interna. La lista de afectados incluye nombres que manejan operaciones industriales (Siemens, Foxconn, Samsung), logística (FedEx, DHL) y consultoría (Accenture, PwC), en geografías que van desde Corea del Sur hasta Alemania.

Arctic Wolf, en un análisis técnico publicado también el 18 de junio, registra que la campaña está "activa" en el sentido de seguir intentando inicios de sesión, pero que la adquisición de los datos puede datar de meses anteriores, de incidentes diferentes consolidados en un solo expediente. Para la empresa, se trata más de curaduría que de una nueva filtración, contrastando con el encuadre de "ataque inédito" que circuló en redes sociales.

Lectura para el C-level

Para el CIO de una multinacional, hay tres frentes inmediatos. El primero es ejecutar el IOC publicado por la CISA contra los firewalls de la operación, incluso donde el área de seguridad asegura que las credenciales han sido rotadas después de la filtración de Belsen del año pasado. El segundo es verificar la VPN basada en Fortinet utilizada por filiales más pequeñas, donde el MFA aún puede no estar impuesto. El tercero es exigir al socio de servicios gestionados (Accenture, PwC, Infosys, Capgemini, todos en la lista de empresas afectadas como clientes finales o a través de sus clientes) un detalle de lo que operan detrás de la frontera Fortinet.

El dato que vale la pena seguir en las próximas 72 horas es si alguno de los nombres citados por Diachenko emite un comunicado oficial. Hasta el cierre de este artículo, ninguno de los clientes corporativos citados en la lista se había pronunciado públicamente sobre exposición directa. El silencio en estas circunstancias suele significar que se está llevando a cabo una evaluación interna, no ausencia de impacto.