Automatización de ataques contra FortiGate: uso de FortiCloud SSO para modificar configuraciones de cortafuegos

Resumen del incidente

La empresa de ciberseguridad Arctic Wolf ha advertido sobre un «nuevo clúster de actividad maliciosa automatizada» que implica modificaciones no autorizadas en la configuración de dispositivos FortiGate de Fortinet. Según el informe, la actividad comenzó el 15 de enero de 2026 y presenta similitudes con una campaña de diciembre de 2025 en la que se registraron inicios de sesión SSO maliciosos en aparatos FortiGate contra la cuenta admin.

«nuevo clúster de actividad maliciosa automatizada»

Contexto y por qué importa

Fortinet FortiGate es una línea de dispositivos de seguridad de red (firewalls, UTM) ampliamente desplegada en empresas, proveedores de servicios y organismos públicos. La escala de su adopción convierte a sus appliances y servicios asociados, como FortiCloud y la funcionalidad de Single Sign-On (SSO), en objetivos atractivos para atacantes que buscan acceso a la periferia de la red, persistencia y control sobre políticas de filtrado y túneles seguros.

El compromiso de la gestión o de cuentas administrativas de un cortafuegos tiene efectos inmediatos y peligrosos: permite modificar reglas de acceso, abrir canales de salida/inversa (túneles, proxies), desactivar registros y alertas, y crear cuentas o puertas traseras que faciliten el movimiento lateral dentro de la red. La automatización de estas acciones eleva el riesgo porque escala el ataque sobre múltiples objetivos en ventanas temporales reducidas.

Análisis técnico y comentarios para practicantes

Basado en la descripción de Arctic Wolf y en patrones observados previamente en incidentes contra infraestructuras de red, estas son observaciones clave para equipos técnicos:

• Mecanismo preferido — abuso de SSO y credenciales administrativas: el uso de SSO (FortiCloud SSO) para autenticación centralizada facilita la gestión, pero si el flujo de autenticación se compromete —por credenciales, tokens o abuso de sesiones— el atacante puede operar con los privilegios administrativos que se propagan a múltiples appliances.
• Automatización para cambios de configuración: los atacantes suelen automatizar tareas repetitivas: modificar políticas de seguridad, añadir reglas de NAT, activar servicios de administración remota, o descargar/ejecutar configuraciones que permiten persistencia y cobertura de huellas.
• Objetivos probables tras el acceso: establecimiento de persistencia (nuevas cuentas administrativas o servicios ocultos), creación de túneles salientes para exfiltración, desactivación o elusión de registros y alertas, y escalada hacia activos internos críticos.
• Detección y telemetría relevante: búsqueda de cambios de configuración fuera de horarios habituales, inicios de sesión SSO inusuales, modificaciones en reglas de firewall (especialmente nuevas reglas de permit/any), creación de cuentas y cambios en las políticas de administración remota o VPN.

Comparables y antecedentes

Aunque Arctic Wolf vincula la campaña a actividad observada en diciembre de 2025, el patrón de explotación de dispositivos de seguridad y de abusos de mecanismos centralizados de autenticación no es nuevo. En años anteriores se han documentado múltiples campañas que apuntaron a appliances de seguridad y VPN comerciales para obtener acceso inicial a redes empresariales. Estos incidentes suelen seguir un ciclo: descubrimiento de vectores (credenciales, vulnerabilidades en firmware/servicios), explotación automatizada, modificación de configuraciones y movimientos posteriores para mantener el control.

Datos de la industria muestran que los productos de perímetro con despliegues amplios son objetivos repetidos porque un único tipo de vector explotable puede afectar cientos o miles de organizaciones. Por eso los proveedores de seguridad publican parches y recomendaciones con frecuencia y los equipos de seguridad deben priorizar su aplicación.

Riesgos e implicaciones

• Pérdida de control sobre políticas de seguridad: cambios no autorizados en reglas de firewall pueden exponer servicios internos a Internet o permitir tráfico saliente no supervisado.
• Persistencia y puertas traseras: la creación de cuentas administrativas o la modificación de la gestión remota puede ser utilizada para regresar al entorno aun cuando se remedien otras brechas.
• Exfiltración de datos y movimiento lateral: con un túnel o regla de NAT configurada, un atacante puede extraer información sensible o pivotar hacia sistemas internos.
• Impacto a la continuidad operativa: manipular la infraestructura de seguridad puede interrumpir servicios críticos o degradar la capacidad de detección y respuesta.
• Reputacional y regulatorio: incidentes que afectan controles perimetrales suelen atraer escrutinio regulatorio y pueden conllevar obligaciones de notificación si hay impacto sobre datos personales o disponibilidad de servicios.

Recomendaciones concretas y medidas operativas

Para equipos de seguridad y administradores de FortiGate, estas recomendaciones priorizadas ayudan a mitigar riesgo inmediato y mejorar la resiliencia:

• Verificar y restringir acceso administrativo: habilitar autenticación multifactor (MFA) para todas las cuentas administrativas; limitar el acceso administrativo por lista blanca de IP y usar jump hosts dedicados con control de sesiones.
• Revisar y rotar credenciales y tokens: forzar el cambio de contraseñas administrativas, revisar tokens y sesiones activas en FortiCloud SSO; invalidar sesiones sospechosas.
• Desactivar servicios innecesarios: si FortiCloud SSO no es estrictamente necesario, considerar deshabilitarlo temporalmente hasta verificar integridad; reducir la superficie de exposición desactivando interfaces/servicios management accesibles desde Internet.
• Aplicar parches y actualizar firmware: mantener FortiOS y los servicios asociados al día con los parches del proveedor; priorizar actualizaciones que corrijan vectores de autenticación y gestión remota.
• Habilitar y supervisar registros de cambios: asegurar que el logging de configuración y auditoría esté activo y enviado a un sistema de registros centralizado (SIEM); crear alertas para cambios en políticas críticas, creación de cuentas y reglas de NAT.
• Implementar detección de integridad y control de cambios: usar comparación de configuraciones, hashes y alertas de drift para detectar modificaciones no autorizadas de manera temprana.
• Backups y plan de respuesta: mantener copias firmadas y off-line de configuraciones validadas; diseñar playbooks para revertir cambios y aislar appliances comprometidos.
• Segmentación y microsegmentación: limitar el alcance de un dispositivo comprometido implementando controles de red adicionales que impidan un pivot sencillo hacia sistemas críticos.
• Colaboración con el proveedor y compartición de IOAs: informar a Fortinet y a los CSIRTs relevantes; intercambiar indicadores y patrones de ataque con la comunidad para mejorar las detecciones.

Acciones inmediatas sugeridas (checklist)

• Confirmar la fecha y hora de cualquier inicio de sesión SSO inusual desde el 15 de enero de 2026 en adelante.
• Revisar el historial de cambios en las configuraciones de FortiGate y buscar reglas agregadas o modificadas fuera de políticas operativas.
• Forzar cierre de sesiones administrativas remotas y revocar tokens sospechosos en FortiCloud.
• Notificar al equipo de respuesta a incidentes y, si procede, aislar appliances con evidencia de compromiso.
• Restaurar configuraciones desde backups de confianza tras una investigación forense que confirme la integridad.

Conclusión

La advertencia de Arctic Wolf sobre un nuevo clúster de actividad automatizada centrada en FortiGate subraya un riesgo persistente: la explotación de mecanismos de gestión y autenticación en appliances de perímetro puede proporcionar a los atacantes control estratégico sobre redes enteras. Para mitigar estas amenazas es imprescindible combinar medidas técnicas inmediatas —MFA, restricciones de acceso, parches y monitorización de cambios— con procesos operativos robustos como backups firmados, playbooks de respuesta y colaboración con el proveedor. La detección temprana y la contención rápida son claves para evitar que cambios de configuración no autorizados deriven en pérdidas mayores o persistencia a largo plazo.

Source: thehackernews.com