Según los informes, un actor de amenaza ha puesto a la venta una sofisticada herramienta de exploit de API FortiGate en un mercado web oscuro, que enciende una preocupación significativa dentro de la comunidad de ciberseguridad.
Se afirma que la herramienta, que se comercializa por un precio de $ 12,000 y viene con servicios de depósito en garantía para facilitar las transacciones, se dirige a los sistemas FortiOS de Fortinet explotando más de 170 puntos finales de API no garantizados, dando a los atacantes la mediana para cosechar información sensible de los dispositivos afectados.
Los detalles sobre las capacidades de la herramienta han surgido a través de anuncios filtrados y publicaciones de imágenes en foros subterráneos.
Presunto reclamo de herramienta de explotación de API
Según esas divulgaciones, el exploit presenta un módulo automatizado capaz de escanear y extraer datos de una amplia gama de electrodomésticos de firewall FortiGate que ejecutan versiones vulnerables de Fortios, específicamente 7.2 y menos, pero también confirmaron afectar las comunicadas anteriores en la familia 6.x.
Presunto reclamo de hack
Utiliza técnicas de múltiples subprocesos para la extracción rápida de datos a granel, lo que permite a los atacantes alcanzar múltiples objetivos simultáneamente y volcar más de 150 archivos de configuración únicos en una sola operación.
El exploit supuestamente proporciona acceso a datos de configuración altamente sensibles y de misión crítica. Entre los tipos de información que supuestamente recuperable se encuentran las políticas de firewall, los registros de sesión de VPN, las credenciales de la cuenta de usuario, las configuraciones del portal SSL, la comunidad SNMP y las claves de cifrado, y más configuraciones de red esotérica, incluyendo DNS, agrupación de alta disponibilidad y detalles del servidor NTP.
En particular, la herramienta afirma evitar la autenticación tradicional, que requiere solo conocimiento de la dirección IP del dispositivo y el puerto API generalmente expuesto a 443 o 10443 sin necesidad de un nombre de usuario o contraseña.
El impacto de dicho acceso no autorizado podría ser severo, exponiendo diseños de red organizacionales, hash de contraseña de administrador, archivos de configuración de copia de seguridad e incluso tokens de autenticación en vivo para SAML, LDAP, radio o sesiones de VPN, allanando el camino para el movimiento lateral o la escalada de privilegios dentro de los entornos empresariales.
Los analistas de seguridad advierten que la aparición de tal exploit no solo aumenta el riesgo de ataques oportunistas, sino que también reduce la barrera técnica para que los actores maliciosos menos experimentados persigan infracciones a escala empresarial.
La automatización de la herramienta, junto con el soporte para la salida de datos estructurados y la manipulación de encabezado HTTP sigiloso, permitiría tanto las campañas de explotación masiva como los esfuerzos de espionaje específicos con relativa facilidad.
Actualmente no hay confirmación de Fortinet en cuanto a la veracidad de la exploit, pero las organizaciones que ejecutan las versiones afectadas de Fortios se instan a revisar su postura de seguridad, restringir el acceso de API no autorizado y aplicar parches de firmware de inmediato cuando estén disponibles.
Las revelaciones subrayan el creciente riesgo que plantea la mercantilización de las herramientas de explotación avanzadas en los mercados cibercriminales, lo que lleva a casa la importancia de la vigilancia constante, la gestión de vulnerabilidades sólidas y el rápido despliegue de las actualizaciones de seguridad en las estrategias de defensa empresarial.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
