Newsletter - 2024-44
Tabla de Contenidos
- Newsletter - 2024-44
- Operación de espionaje híbrido ruso en Ucrania
- Cibercriminales usan credenciales robadas en la nube para operar servicios de chat sexualizados con IA
- La venta de datos de ubicación y sus implicaciones para la seguridad personal
- Robots aspiradores pirateados que gritan obscenidades
- Multa a LinkedIn por violación del GDPR
- Hackers del Servicio de Inteligencia Exterior de Rusia (SVR) espían a entidades globales
- Vulnerabilidad crítica en FortiManager está siendo explotada de forma activa
Operación de espionaje híbrido ruso en Ucrania
| Categoría | Ciberespionaje, Malware |
| Nombre vulnerabilidad | SUNSPINNER, PureStealer, CraxsRAT |
| Brecha | Malware en Windows y Android |
| Criticidad | |
| Fuente | The Hacker News |
Un grupo de amenaza, identificado como UNC5812, ha sido observado llevando a cabo una operación de ciberespionaje e influencia dirigida a las fuerzas militares ucranianas. La operación, que se disfraza bajo la identidad de una entidad llamada “Civil Defense” en Telegram, entrega una combinación de malware diseñado para Windows y Android. Este grupo ha creado un canal de Telegram llamado civildefense[.]com[.]ua y un sitio web civildefense[.]com[.]ua, y han sido activos desde septiembre de 2024.
“Civil Defense” se presenta como un proveedor de software gratuito destinado a permitir a los potenciales usuarios visualizar y compartir ubicaciones de reclutadores militares ucranianos. Este software, sin embargo, está diseñado para desplegar malware en dispositivos Android y Windows, especialmente si la protección de Google Play está deshabilitada.
Para los dispositivos Android, el software malicioso se distribuye como un archivo APK con el nombre de paquete “com[.]http[.]masters”. Una vez instalado, este archivo despliega un troyano de acceso remoto conocido como CraxsRAT. Este malware tiene capacidades avanzadas de espionaje, incluyendo el registro de teclas, manipulación de gestos y grabación de cámaras, pantallas y llamadas. El sitio web también proporciona instrucciones para deshabilitar Google Play Protect y otorgar los permisos necesarios para que el malware funcione sin impedimentos.
Para los usuarios de Windows, el ataque se realiza a través de un archivo ZIP que contiene un cargador de malware basado en PHP llamado Pronsis. Este cargador distribuye el malware SUNSPINNER y un ladrón de información conocido como PureStealer. SUNSPINNER muestra a los usuarios un mapa que supuestamente muestra ubicaciones de reclutas militares ucranianos, mientras que PureStealer roba información sensible del sistema infectado. PureStealer se ofrece en el mercado por precios que varían entre $150 por una suscripción mensual y $699 por una licencia de por vida.
Además del despliegue de malware, UNC5812 también está involucrado en operaciones de influencia. Difunden narrativas y solicitan contenido destinado a socavar el apoyo a los esfuerzos de movilización y reclutamiento militar de Ucrania. La campaña es un ejemplo claro del énfasis que Rusia pone en lograr efectos cognitivos a través de sus capacidades cibernéticas. Destaca el papel prominente que las aplicaciones de mensajería, como Telegram, continúan desempeñando en la entrega de malware y otras dimensiones cibernéticas de la guerra en Ucrania.
La campaña de UNC5812 subraya la importancia de la ciberseguridad en el contexto del conflicto en Ucrania. Las tácticas utilizadas, que combinan malware y operaciones de influencia, muestran un enfoque multifacético para desestabilizar y recopilar información sensible. Es crucial que los usuarios sean conscientes de los riesgos asociados con la descarga de software de fuentes no verificadas y mantengan sus dispositivos protegidos con soluciones de seguridad actualizadas.
Cibercriminales usan credenciales robadas en la nube para operar servicios de chat sexualizados con IA
| Categoría | Seguridad en la nube |
| Nombre vulnerabilidad | Exposición de credenciales en la nube |
| Brecha | Acceso no autorizado a recursos de IA |
| Criticidad | |
| Fuente | Krebson Security |
Las organizaciones que pierden el control de las credenciales para sus entornos en la nube pueden verse involucradas en un fenómeno creciente: el uso de estas credenciales robadas por ciberdelincuentes para gestionar y revender servicios de chat sexualizados impulsados por inteligencia artificial (IA). Según investigadores de la empresa de seguridad Permiso Security, estos bots de chat ilícitos logran eludir los filtros de contenido mediante “jailbreaks” personalizados, permitiendo escenarios de rol preocupantes, incluidos aquellos relacionados con explotación sexual infantil.
Permiso ha observado un aumento significativo en los ataques dirigidos a infraestructuras de IA generativa, como Bedrock de Amazon Web Services (AWS), en los últimos seis meses. La vulnerabilidad se presenta cuando credenciales o claves de la nube quedan expuestas en repositorios de código como GitHub. Investigando el abuso de cuentas de AWS, los investigadores encontraron que muchas víctimas no habían activado el registro completo de actividades en Bedrock, lo que les impedía ver cómo los atacantes explotaban el acceso.
En su propio experimento, Permiso expuso una clave de prueba en GitHub con los registros activados y pronto vio cómo la clave era utilizada para alimentar un servicio de chat sexual impulsado por IA. A lo largo de dos días, observaron más de 75,000 invocaciones de modelo de naturaleza sexual, con algunos contenidos que llegaban a temas ilegales como la explotación infantil. Según Ian Ahl, vicepresidente de investigación de amenazas en Permiso, estos delincuentes generalmente emplean cuentas de nube para delitos financieros, pero en los últimos seis meses han comenzado a utilizar Bedrock para operar servicios de chat sexual.
AWS recientemente amplió sus procedimientos de cuarentena para incluir Bedrock, limitando así el uso de credenciales comprometidas. Además, la empresa introdujo alertas automáticas para notificar a los usuarios cuando sus credenciales quedan expuestas en línea. Sin embargo, los atacantes han comenzado a utilizar verificaciones en sus códigos para evitar cuentas que tienen los registros activados, lo que complica aún más la detección de actividades ilícitas.
El sitio web “Chub”, mencionado en la investigación de Permiso, ofrece bots de chat con temas controvertidos, como roles de violencia y abuso, y cobra una suscripción de $5 al mes por acceso sin censura. Aunque Chub niega involucrarse en actividades ilegales, el sitio ha sido señalado por ofrecer personajes que incluyen etiquetas como “violación” e “incesto”.
Este tipo de explotación tiene serias repercusiones financieras para las víctimas de las cuentas de nube. En un ataque reciente documentado por Sysdig, los atacantes usaron credenciales robadas para consumir recursos de IA generativa, generando costos de hasta $46,000 diarios para la víctima. Estos ataques revelan la urgencia de implementar controles de seguridad y monitorización continua en infraestructuras de IA para mitigar el abuso.
Tanto AWS como Anthropic, proveedor de los modelos de lenguaje en Bedrock, han implementado medidas para evitar que los modelos sean “jailbreakeados” y se utilicen en contextos no éticos o ilegales. AWS recomienda que sus clientes activen funciones de monitoreo y utilicen herramientas como GuardDuty para detectar actividades sospechosas y alarmas de facturación para identificar gastos anómalos.
Anthropic, por su parte, sigue trabajando en técnicas de resistencia a los jailbreaks y en la colaboración con expertos en seguridad infantil para mejorar sus modelos. La compañía está comprometida en desarrollar medidas de seguridad que protejan a los usuarios y en compartir investigaciones para que otros desarrolladores de IA puedan aprender de estas amenazas.
En conclusión, estos incidentes subrayan la importancia de la seguridad en el uso de IA generativa y la necesidad de que las organizaciones protejan sus credenciales en la nube para evitar que sean explotadas en actividades delictivas y potencialmente destructivas.
La venta de datos de ubicación y sus implicaciones para la seguridad personal
| Categoría | Ransomware |
| Nombre vulnerabilidad | N/A |
| Brecha | Ataques de ransomware a múltiples organizaciones |
| Criticidad | |
| Fuente | Krebson Security |
La capacidad de rastrear los movimientos diarios de una persona con solo conocer su dirección, lugar de trabajo o sitio de culto solía ser un poder limitado a los estados nacionales. Sin embargo, en la actualidad, cualquiera puede acceder a esta habilidad gracias a servicios comerciales que recopilan los datos digitales emitidos por aplicaciones móviles y sitios web. Una demanda reciente en Nueva Jersey, que podría resultar en una batalla constitucional, destaca esta problemática al denunciar el acceso a información personal de millones de usuarios. Este caso, impulsado por la compañía Atlas Data Privacy Corp., representa a más de 20,000 agentes de la ley de Nueva Jersey que buscan eliminar sus datos personales de los servicios de búsqueda de personas en línea y de corredores de datos comerciales que los han recopilado sin autorización.
Atlas Data Privacy Corp., respaldada por fondos millonarios, ha presentado demandas contra 151 corredores de datos en lo que va de año, argumentando que estas empresas violan la Ley Daniel de Nueva Jersey. Esta legislación permite a agentes de la ley, personal gubernamental y jueces exigir que se elimine su información de los corredores de datos. La ley fue promulgada tras el asesinato de Daniel Anderl, hijo de una jueza federal, en un ataque dirigido a su madre en 2020. Atlas alega que los corredores de datos han ignorado sus advertencias y siguen recopilando y vendiendo información de estas personas.
Una de las compañías demandadas es Babel Street, cuya plataforma, LocateX, permite rastrear dispositivos móviles en cualquier parte del mundo mediante un ID de publicidad móvil (MAID) único. Este sistema permite ver los dispositivos que han pasado por una ubicación específica y registrar sus movimientos diarios. Los MAIDs son identificadores integrados en dispositivos móviles, como los de Google y Apple, que Babel Street utiliza para rastrear a individuos sin su consentimiento. La demanda sostiene que Babel Street puede ofrecer esta funcionalidad al recopilar datos de localización y otra información transmitida por sitios web a redes publicitarias.
Atlas, a través de un investigador privado, utilizó una versión de prueba de Babel Street para rastrear los dispositivos de varios agentes de policía en Nueva Jersey. Esto incluyó registrar los movimientos diarios de sus teléfonos, ubicando sus direcciones residenciales y otros puntos frecuentados. El investigador comprobó que Babel Street incluso ofrecía servicios de búsqueda de personas, lo que facilitaba la identificación de individuos específicos. Además, pudo adquirir datos que incluían información de identificación personal junto con el MAID, como nombres, direcciones y coordenadas GPS precisas.
El caso Atlas-Babel Street ilustra los riesgos para la privacidad derivados de la disponibilidad de datos de localización. La demanda expone cómo el fácil acceso a la información de movilidad a través de datos de publicidad móvil puede usarse para espiar y acosar a individuos. Esto afecta especialmente a aquellos que están en el ojo público, como agentes de la ley, personal gubernamental y funcionarios judiciales, que ya enfrentan amenazas debido a teorías de conspiración y retórica política hostil.
Atlas también logró rastrear dispositivos móviles en áreas sensibles, como mezquitas, sinagogas, juzgados y clínicas de aborto. En un caso, rastrearon un dispositivo de un posible miembro del jurado desde el juzgado hasta su residencia, lo cual subraya la gravedad de esta tecnología cuando se usa sin la supervisión de una orden judicial. Incluso lograron rastrear el dispositivo de una oficial de policía de Nueva Jersey, Justyna Maloney, cuya ubicación fue identificada en repetidas ocasiones en la plataforma. La investigadora descubrió que la aplicación de Macy’s en el dispositivo de Justyna era la que enviaba su ubicación sin su conocimiento.
El uso de MAIDs como identificadores publicitarios permite a las empresas y aplicaciones móviles recopilar y compartir datos sin utilizar información personal directa. Sin embargo, las empresas de publicidad y corredores de datos han desarrollado un mercado en el que combinan los MAIDs con datos personales, creando perfiles que permiten identificar a los usuarios detrás de los dispositivos móviles. Esto incluye datos personales y ubicaciones exactas, lo que convierte a los MAIDs en herramientas de vigilancia.
El caso de Atlas también ilustra el uso de datos publicitarios móviles para rastrear personas que cruzan fronteras estatales para acceder a servicios de aborto, en estados donde el procedimiento es ilegal. Organizaciones antiaborto han comenzado a utilizar estos datos para geolocalizar a mujeres sospechosas de buscar abortos. Atlas demostró que pudo rastrear el trayecto diario de un trabajador de una clínica de abortos, desde su residencia hasta el lugar de trabajo, y otro individuo que cruzó la frontera entre Alabama y Florida.
La recolección y venta de datos de localización plantea desafíos éticos y legales en temas de privacidad y derechos individuales. Aunque las empresas de tecnología, como Google y Apple, han introducido medidas de privacidad en sus dispositivos, el acceso a los MAIDs permite rastrear a los usuarios sin su conocimiento o consentimiento. Las políticas de estas empresas, sin embargo, permiten compartir datos de localización bajo ciertos parámetros, lo cual continúa facilitando la recolección masiva de datos en redes de publicidad en tiempo real.
Google controla el 47 % del mercado publicitario en EE. UU., mientras que Apple posee el 55 % del mercado de teléfonos inteligentes. Google sostiene que no proporciona datos de localización precisa en sus solicitudes de puja en tiempo real, pero sigue facilitando el acceso a los MAIDs en sus plataformas publicitarias. Por su parte, Apple permite a los usuarios desactivar el seguimiento de ubicación en sus dispositivos y limitar los permisos de ubicación a aplicaciones específicas. Sin embargo, expertos en privacidad señalan que tanto Google como Apple deben eliminar completamente los MAIDs para proteger la privacidad de los usuarios.
Robots aspiradores pirateados que gritan obscenidades
| Categoría | IoT Security |
| Nombre vulnerabilidad | Bluetooth Hack |
| Brecha | Control de Dispositivos IoT |
| Criticidad | |
| Fuente | Security Boulevard |
En el episodio 351 del podcast de Shared Security, los anfitriones Tom y Scott discuten un incidente inusual en el que aspiradoras robot fueron hackeadas para gritar obscenidades. Este incidente revela problemas significativos en la seguridad de los dispositivos IoT (Internet de las Cosas).
El hackeo se realizó a través de una vulnerabilidad en el protocolo Bluetooth, lo que permitió a los atacantes tomar el control de los dispositivos y hacer que emitieran insultos. La capacidad de hackear estos dispositivos plantea serias preocupaciones sobre la seguridad de los productos IoT, que a menudo están conectados a redes domésticas y pueden ser utilizados como puntos de entrada para otros ataques.
La mecánica del hackeo se basa en la explotación de una debilidad en la forma en que el Bluetooth maneja la autenticación y el emparejamiento. Los atacantes pueden interceptar y manipular las señales de Bluetooth para tomar el control del dispositivo sin necesidad de acceso físico. Esta vulnerabilidad no solo afecta a las aspiradoras robot, sino que también puede tener implicaciones para una amplia gama de dispositivos IoT, desde cámaras de seguridad hasta electrodomésticos inteligentes.
Además del riesgo inmediato de que los dispositivos hackeados puedan molestar a los usuarios, existe un peligro más profundo relacionado con la privacidad y la seguridad. Los dispositivos IoT a menudo recopilan datos sensibles, como patrones de uso y datos de ubicación, que podrían ser explotados por actores malintencionados. La falta de seguridad en estos dispositivos podría permitir el espionaje o incluso la manipulación de otros dispositivos conectados a la misma red.
Este incidente subraya la necesidad de una mayor regulación y estándares de seguridad más estrictos para los dispositivos IoT. Los fabricantes deben ser responsables de garantizar que sus productos sean seguros y actualizables para proteger a los consumidores de estas amenazas. La falta de actualizaciones de seguridad y la dependencia de protocolos inseguros como Bluetooth sin medidas de protección adecuadas son problemas que deben abordarse urgentemente.
En el segmento “Aware Much?” del podcast, también se habló sobre el uso de puntos de seguimiento ocultos en impresoras, una tecnología utilizada para rastrear el origen de los documentos impresos. Estos puntos, invisibles a simple vista, pueden revelar información sobre la impresora utilizada y, en algunos casos, incluso sobre la persona que realizó la impresión. Esta tecnología ha sido utilizada históricamente por los gobiernos para rastrear documentos y prevenir la falsificación de moneda.
La intersección entre privacidad y seguridad es un tema recurrente en el mundo moderno. Mientras que la tecnología de seguimiento puede ser útil para capturar filtraciones de alto perfil y prevenir delitos, también plantea serias preocupaciones sobre la privacidad individual. Los usuarios a menudo no son conscientes de que sus dispositivos están recopilando y transmitiendo tanta información, lo que destaca la necesidad de una mayor transparencia y control sobre los datos personales.
En resumen, el hackeo de las aspiradoras robot y la revelación de los puntos de seguimiento en impresoras resaltan la compleja relación entre seguridad y privacidad en la era digital. Es crucial que tanto los consumidores como los fabricantes tomen medidas proactivas para protegerse contra estas amenazas y garantizar que los dispositivos IoT sean seguros y respetuosos con la privacidad.
Multa a LinkedIn por violación del GDPR
| Categoría | Privacidad de Datos |
| Nombre vulnerabilidad | Violación del GDPR |
| Brecha | Publicidad dirigida sin consentimiento adecuado |
| Criticidad | |
| Fuente | Infosecurity |
La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa de 310 millones de euros a LinkedIn Ireland Unlimited Company por violación del Reglamento General de Protección de Datos (GDPR) de la Unión Europea en relación con las prácticas publicitarias de la empresa. Esta decisión se produjo después de una denuncia presentada inicialmente en agosto de 2018 por una organización no gubernamental francesa, La Quadrature Du Net, ante la autoridad francesa de protección de datos (CNIL).
Esta denuncia inicial provocó una investigación para decidir sobre la legalidad, equidad y transparencia del procesamiento de los datos personales de los usuarios de la plataforma LinkedIn con fines de análisis de comportamiento y publicidad dirigida. Los datos personales en cuestión incluían tanto los proporcionados directamente a LinkedIn por sus miembros como los obtenidos a través de sus socios externos relacionados con sus miembros.
La investigación concluyó que LinkedIn estaba infringiendo los Artículos 5, 6, 13 y 14 del GDPR, que incluyen:
- Principios relativos al tratamiento de datos personales.
- Licitud del tratamiento.
- Información que debe facilitarse cuando los datos personales se obtienen del interesado.
- Información que debe facilitarse cuando los datos personales no se han obtenido del interesado.
Actuando como la autoridad de supervisión principal para LinkedIn en la UE, la DPC presentó un proyecto de decisión al mecanismo de cooperación del GDPR en julio de 2024, que ahora ha sido validado.
La decisión de la DPC incluye tres multas administrativas que suman un total de 310 millones de euros, una reprimenda y una orden para que LinkedIn ajuste su procesamiento de datos para cumplir con la normativa. LinkedIn emitió un breve comunicado reconociendo la decisión de la DPC, pero no indicó si impugnaría la multa.
“Hoy, la DPC irlandesa llegó a una decisión final sobre las reclamaciones de 2018 relacionadas con algunos de nuestros esfuerzos de publicidad digital en la UE. Si bien creemos que hemos cumplido con el GDPR, estamos trabajando para asegurar que nuestras prácticas publicitarias cumplan con esta decisión dentro del plazo establecido por la DPC”, declaró la empresa.
Esta multa a LinkedIn no es un caso aislado, sino parte de una tendencia más amplia de los reguladores de protección de datos en Europa para hacer cumplir el GDPR de manera más estricta. Desde su implementación en mayo de 2018, el GDPR ha sido un marco legal fundamental para la protección de datos en la UE, y los organismos reguladores han intensificado sus esfuerzos para garantizar que las empresas cumplan con sus disposiciones.
En conclusión, la multa a LinkedIn por violación del GDPR subraya la importancia de que las empresas tecnológicas revisen y ajusten continuamente sus prácticas de manejo de datos para garantizar el cumplimiento con las normativas de privacidad de datos. La transparencia, el consentimiento adecuado y la protección de los datos personales de los usuarios deben ser una prioridad para evitar sanciones significativas y para mantener la confianza de los usuarios.
Hackers del Servicio de Inteligencia Exterior de Rusia (SVR) espían a entidades globales
| Categoría | Ciberespionaje |
| Nombre vulnerabilidad | Múltiples |
| Brecha | Acceso no autorizado a datos y sistemas |
| Criticidad | |
| Fuente | Info Security |
Un informe reciente de las agencias de inteligencia de Estados Unidos y Reino Unido ha revelado que hackers asociados con el Servicio de Inteligencia Exterior de Rusia (SVR) han estado espiando a entidades en Estados Unidos, Europa y otras partes del mundo durante varios años. Este grupo de hackers, conocido como APT29, Cozy Bear, Midnight Blizzard, Nobelium y los Dukes, ha estado involucrado en una campaña de ciberespionaje que se remonta al menos a 2021 y ha contribuido significativamente a los esfuerzos rusos en la invasión de Ucrania desde febrero de 2022.
Las organizaciones objetivo incluyen entidades gubernamentales y diplomáticas, empresas tecnológicas, think tanks, organizaciones internacionales y contratistas de defensa, principalmente en América del Norte y Europa Occidental. Sin embargo, también se han identificado objetivos en Asia, África, países vecinos de Rusia y América del Sur.
El principal propósito de esta campaña a gran escala es recopilar inteligencia extranjera y datos técnicos, así como establecer accesos que permitan compromisos posteriores en la cadena de suministro. La metodología típica del SVR comienza con el escaneo de sistemas expuestos a Internet en busca de vulnerabilidades no parcheadas. Los hackers generalmente obtienen acceso inicial explotando vulnerabilidades públicamente divulgadas en servicios profesionales como JetBrains TeamCity o Zimbra, en dispositivos de red como Citrix NetScaler Gateway o en software común como Google Chrome o Microsoft Teams.
Otras técnicas utilizadas incluyen spearphishing, ataques de fuerza bruta a contraseñas (password spraying), abuso de la cadena de suministro y relaciones de confianza, malware personalizado, explotación de la nube y técnicas de “vivir de la tierra” (LotL) para obtener acceso inicial, escalar privilegios, moverse lateralmente, mantener la persistencia en redes y entornos en la nube de las víctimas y exfiltrar información.
APT29 a menudo utiliza la red The Onion Router (TOR), infraestructura alquilada y comprometida, y proxys para ofuscar su actividad. “Cuando el SVR sospecha que sus intrusiones han sido identificadas por su víctima o por las fuerzas del orden, rápidamente intentan destruir su infraestructura y cualquier evidencia en ella. Para permanecer indetectados, el SVR frecuentemente utiliza herramientas y programas ya presentes en las redes de las víctimas para evitar el software antivirus”, añade el informe.
Las agencias del Reino Unido y Estados Unidos han compartido una lista de recomendaciones para mitigar la amenaza de ciberespionaje del SVR. Estas incluyen:
- Implementación de parches y actualizaciones de seguridad de manera oportuna.
- Monitoreo continuo de las redes en busca de actividad sospechosa.
- Uso de autenticación multifactor (MFA) para proteger el acceso a sistemas críticos.
- Capacitación continua del personal en prácticas de ciberseguridad y concienciación sobre phishing.
- Implementación de políticas estrictas de gestión de acceso y privilegios.
Los signatarios del informe conjunto incluyen el FBI, la NSA, la Fuerza de Misión Cibernética Nacional (CNMF) en los Estados Unidos y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
Vulnerabilidad crítica en FortiManager está siendo explotada de forma activa
| Categoría | Vulnerabilidad de software |
| Nombre vulnerabilidad | CVE-2024-47575 |
| Brecha | Ejecución de código arbitrario |
| Criticidad | |
| Fuente | Info Security |
Fortinet ha confirmado que una vulnerabilidad crítica de día cero que afecta a su solución de gestión de red FortiManager está siendo explotada activamente. En un aviso de seguridad del 23 de octubre, el proveedor de ciberseguridad compartió más información sobre CVE-2024-47575, una vulnerabilidad que permite a los actores de amenazas utilizar un dispositivo FortiManager comprometido para ejecutar código o comandos arbitrarios contra otros dispositivos FortiManager.
Esta vulnerabilidad, que tiene un puntaje de severidad de 9.8 en el sistema CVSS, es el resultado de una autenticación faltante para una función crítica (CWE-306) en el demonio fgfmd de FortiManager, lo que permite a un atacante remoto no autenticado ejecutar código o comandos arbitrarios a través de solicitudes especialmente diseñadas. Según Fortinet, las siguientes instancias de FortiManager son vulnerables a CVE-2024-47575:
Fortinet ha recomendado a sus clientes de FortiManager actualizar a una versión fija y soportada de forma urgente, sin esperar a un ciclo de parcheo regular. También hay una solución temporal disponible para algunas versiones.
Varios investigadores de seguridad, incluidos Kevin Beaumont y los investigadores de Mandiant, han informado que la vulnerabilidad de día cero está siendo explotada activamente. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado la vulnerabilidad a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV).
El rumor sobre esta vulnerabilidad en FortiManager comenzó a circular en foros y redes sociales a mediados de octubre. Notablemente, una conversación pública en Reddit indicó que Fortinet contactó a algunos de sus clientes alrededor del 15 de octubre para “divulgar privadamente” una vulnerabilidad en FortiManager y asesorar sobre mitigaciones.
El 22 de octubre, el investigador de seguridad Kevin Beaumont afirmó en un blog que un actor patrocinado por el estado utilizó esta vulnerabilidad de día cero de FortiManager, apodada ‘FortiJump’, en ataques de espionaje. Beaumont indicó que casi 60,000 instancias de FortiManager están expuestas en internet, con más de 13,200 en los EE. UU. Además, criticó la falta de respuesta de Fortinet por no confirmar la vulnerabilidad ni asignar un número CVE cuando publicó su blog.
“No tengo confianza en que la narrativa de Fortinet de proteger a los clientes al no divulgar públicamente esta vulnerabilidad esté cumpliendo con dicho propósito. Esta vulnerabilidad ha estado bajo explotación generalizada durante un tiempo”, escribió Beaumont. “No protege a nadie al no ser transparente… excepto tal vez a ellos mismos, y a cualquier gobierno que no quiera ser avergonzado”.
En un nuevo informe, Mandiant dijo que está colaborando con Fortinet para investigar la explotación masiva de dispositivos FortiManager potencialmente comprometidos en diversas industrias. “Mandiant observó un nuevo clúster de amenazas que ahora rastreamos como UNC5820 explotando la vulnerabilidad de FortiManager desde el 27 de junio de 2024”, indicaron los investigadores de Mandiant.
UNC5820 preparó y exfiltró los datos de configuración de los dispositivos FortiGate gestionados por el FortiManager explotado. Estos datos contienen información detallada de configuración, así como los usuarios y sus contraseñas hashadas con FortiOS256. “Estos datos podrían ser utilizados por UNC5820 para comprometer aún más el FortiManager, moverse lateralmente a los dispositivos Fortinet gestionados y, en última instancia, apuntar al entorno empresarial”, añadió Mandiant.
Sin embargo, Mandiant dijo que carece de datos suficientes para confirmar si UNC5820 es un actor de amenazas patrocinado por el estado o dónde está basado. “Las organizaciones que puedan tener su FortiManager expuesto a internet deben realizar una investigación forense de inmediato”, concluyó Mandiant.
__