Al explotar una vulnerabilidad en FortiOS (un sistema operativo que se utiliza principalmente en productos Fortigate SSL VPN de Fortinet), los atacantes han logrado recientemente infiltrar malware llamado «Cring» en las redes de las víctimas para hacer inaccesibles sistemas enteros en el peor de los casos. Las empresas industriales occidentales parecen verse especialmente afectadas. Averigua cómo es el ataque y qué puedes hacer para evitarlo.
¿Qué ha pasado?
La semana pasada, investigadores de seguridad de la empresa de software Kaspersky informaron sobre el descubrimiento de un nuevo ransomware. Este es un programa que cifra archivos o sistemas completos, tras lo cual se exige un rescate al usuario para que puedan ser liberados de nuevo. Los ciberdelincuentes utilizan el software recién descubierto explotando productos «Fortigate SSL VPN» no parcheados, es decir, a través de dispositivos sin actualizaciones de seguridad actuales. Los investigadores descubrieron que las empresas industriales en países europeos son los principales objetivos de estos ataques. El malware fue llamado «ransomware Cring». La vulnerabilidad utilizada para distribuir el malware, que recibió el número CVE-2018-13379, fue descubierta por primera vez en 2018. Desde entonces, los dispositivos Fortinet han sido atacados varias veces. La combinación de la vulnerabilidad relacionada con el nuevo malware «Cring», conocido desde 2018, descrita al principio es una amenaza recién descubierta que no debe ignorarse debido a sus graves consecuencias.
¿Cuáles son los riesgos para mi empresa?
Si tiene éxito, este ataque remoto puede provocar que los archivos y ordenadores queden cifrados y, por tanto, inutilizables. Sin embargo, sobre todo, los servidores utilizados para controlar el proceso industrial (por ejemplo, para la producción de bienes) también pueden ser cifrados; como resultado, el proceso también se cerraría.
¿Cómo funciona el ataque en detalle?
Todo el ataque es multietapa y complejo. Los perpetradores obtienen acceso inicial a través de vulnerabilidades no cerradas y, por tanto, dispositivos VPN Fortinet vulnerables. Esto no permite que los dispositivos FortiOS en sí se vean comprometidos directamente. Pero sí permite a los atacantes obtener todas las combinaciones de nombre de usuario y contraseña de todos los usuarios de VPN (que se hayan autenticado al menos una vez en el dispositivo), siempre que el endpoint VPN del dispositivo esté configurado para proporcionar servicios VPN a la empresa.
Si el atacante accede a esta información, puede usar las credenciales VPN de un empleado de la empresa para acceder a la red interna, que se hace accesible a través del túnel VPN. Ante todo, esto no significa que un delincuente pueda comprometer todos los sistemas de la red solo explotando esta vulnerabilidad. Pero obtiene una mejor visión de la red. De este modo, es posible lanzar otros ataques. Si la víctima es negligente, las cuentas VPN están vinculadas a las cuentas del dominio (como en el caso de Kaspersky). Esto puede hacer posible iniciar sesión en un ordenador con acceso remoto e infectar la red desde allí.
¿Qué puedo hacer?
Recomendamos que avances en varios pasos:
Paso 1
Comprueba si tú o tu empresa tenéis productos VPN SSL de Fortigate . Como los dispositivos deben comprarse o alquilarse, esto debe investigarse a través de la administración de TI o, si es necesario, del departamento de contabilidad.
Paso 2
Si es así, comprueba qué versión tienes. Las siguientes versiones son vulnerables:
FortiOS 6.0 – 6.0.0 a 6.0.4
FortiOS 5.6 – 5.6.3 a 5.6.7
FortiOS 5.4 – 5.4.6 a 5.4.12
Paso 3
Actualiza el software del dispositivo a la última versión. Recuerda mantener siempre los sistemas actualizados, incluso si tus dispositivos no figuran en la lista de dispositivos vulnerables mencionada arriba.
Paso 4
Actualiza tu software de seguridad a las últimas versiones y mantenlo siempre actualizado. Además, asegúrate de que todos los módulos de tus soluciones de seguridad estén siempre activados.
Paso 5
Revisa las políticas de seguridad de tu organización y asegúrate de que los usuarios solo puedan acceder a los sistemas necesarios para sus necesidades operativas.
Paso 6
Restringir el acceso a VPN entre diferentes ubicaciones, cerrar todos los puertos que no sean necesarios para fines operativos.
Paso 7
Asegúrate de tener al menos tres copias de seguridad actualizadas regularmente de tus sistemas críticos que te permitan restaurar tus operaciones en caso de un ataque imprevisto.
Si tienes alguna pregunta o sospechas que has sido atacado, no dudes en ponerte en contacto con nosotros.
