Riesgo en dispositivos FortiGate: robo de credenciales de cuentas de servicio
Publicado el
Vulnerabilidades en dispositivos FortiGate
Investigadores de ciberseguridad han señalado una nueva campaña en la que actores maliciosos están aprovechando los dispositivos FortiGate, conocidos por su capacidad como firewalls de próxima generación (NGFW), para vulnerar redes de organizaciones, especialmente en los sectores de salud, gobierno y proveedores de servicios gestionados.
Esta actividad implica la explotación de vulnerabilidades de seguridad recientemente divulgadas o el uso de credenciales débiles para extraer archivos de configuración que contienen credenciales de cuentas de servicio y detalles de la topología de red, según un informe de SentinelOne.
Acceso privilegiado comprometido
Los dispositivos FortiGate tienen un acceso considerable a los entornos que están diseñados para proteger. En muchas configuraciones, esto incluye cuentas de servicio conectadas a infraestructuras de autenticación como Active Directory (AD) y Lightweight Directory Access Protocol (LDAP). Esta configuración permite a los dispositivos mapear roles a usuarios específicos, lo que puede ser útil para implementar políticas basadas en roles o para mejorar la rapidez de respuesta ante alertas de seguridad en la red.
Sin embargo, este acceso también puede ser explotado por atacantes que logran infiltrarse en los dispositivos FortiGate a través de vulnerabilidades conocidas, como CVE-2025-59718, CVE-2025-59719 y CVE-2026-24858, o mediante configuraciones erróneas.
Incidentes recientes
Un incidente destacado ocurrió en noviembre de 2025, cuando los atacantes crearon una nueva cuenta de administrador local llamada "support" y configuraron cuatro nuevas políticas de firewall que permitían a esta cuenta moverse sin restricciones entre zonas. Posteriormente, los atacantes mantuvieron un chequeo periódico para asegurarse de que el dispositivo permanecía accesible, un comportamiento típico de un intermediario de acceso inicial (IAB) que establece una base y luego la vende a otros actores criminales.
En febrero de 2026, se detectó una fase posterior de la actividad, donde se extrajo un archivo de configuración que contenía credenciales LDAP encriptadas. Como resultado, el atacante autenticó en el AD utilizando credenciales en texto claro de la cuenta de servicio fortidcagent, lo que sugiere que lograron descifrar el archivo de configuración y extraer las credenciales.
Esto permitió al atacante autenticar en el entorno de la víctima y registrar estaciones de trabajo no autorizadas en el AD, lo que les otorgó acceso más profundo. Posteriormente, se inició un escaneo de red, momento en el cual se detectó la brecha y se detuvo el movimiento lateral.
Herramientas de acceso remoto y malware
En otro caso investigado a finales de enero de 2026, los atacantes pasaron rápidamente del acceso al firewall a la implementación de herramientas de acceso remoto como Pulseway y MeshAgent. Además, descargaron malware desde un bucket de almacenamiento en la nube utilizando PowerShell desde la infraestructura de Amazon Web Services (AWS). Este malware, desarrollado en Java y lanzado mediante DLL side-loading, se utilizó para exfiltrar el contenido del archivo NTDS.dit y la colmena del registro SYSTEM a un servidor externo.
Aunque se sospecha que los atacantes intentaron descifrar contraseñas a partir de los datos, no se identificó el uso de tales credenciales entre el momento de la recolección de credenciales y la contención del incidente.
Conclusiones
Los dispositivos NGFW se han vuelto omnipresentes, ya que proporcionan capacidades de monitoreo de red robustas al integrar controles de seguridad de un firewall con otras características de gestión. Sin embargo, estos dispositivos son objetivos de alto valor para actores con diversas motivaciones y niveles de habilidad, desde actores alineados con estados que realizan espionaje hasta ataques motivados financieramente, como el ransomware. La protección de estos dispositivos es crucial para salvaguardar la integridad de las redes que protegen.