Vulnerabilidades de Fortinet: Firewall: Superblack, Lockbit

La Vulnerabilidad “SuperBlack”: Un Ransomware Dirigido a Firewalls Fortinet (Análisis Técnico y Estrategias de Mitigación)

En los últimos meses, se ha identificado una nueva variante de ransomware denominada ”SuperBlack”, que explota vulnerabilidades críticas en dispositivos Fortinet, específicamente en firewalls de las series FortiGate. Este malware combina tácticas de exfiltración de datos con cifrado agresivo, dirigido a organizaciones que dependen de infraestructuras críticas. Este artículo detalla su funcionamiento, impacto y medidas de defensa para administradores de redes.

¿Qué es SuperBlack?

SuperBlack es un ransomware de tipo double extortion (doble extorsión) que, tras infiltrarse en un firewall Fortinet, busca:

• Cifrar configuraciones y logs del dispositivo, bloqueando el acceso administrativo.
• Exfiltrar datos sensibles (credenciales, reglas de firewall) para extorsionar a la víctima.
• Propagarse lateralmente a otros equipos de la red interna.
•  

Su nombre proviene de la manipulación de la tabla de rutas del firewall, marcando dispositivos comprometidos como “superblacklisted”.

Vulnerabilidades Explotadas en Fortinet

Según investigaciones, SuperBlack aprovecha dos fallos conocidos:

1. CVE-2023-27997 (CVSS 9.8):

   • Tipo: Ejecución remota de código (RCE) en FortiOS y FortiProxy.
   • Vector: Explota una vulnerabilidad en el servicio SSL-VPN, permitiendo ejecutar comandos sin autenticación.
2. CVE-2022-40684 (CVSS 9.6):
   • Tipo: Autenticación bypass en la API administrativa.
   • Impacto: Permite a los atacantes modificar políticas de firewall y desactivar servicios de seguridad.
   •  

Estas vulnerabilidades han sido parcheadas por Fortinet en actualizaciones recientes, pero muchas organizaciones no han aplicado los fixes.

Mecanismos de Ataque de SuperBlack

Fase Inicial: Explotación y Acceso

Los atacantes escanean redes en busca de firewalls Fortinet con SSL-VPN expuesto a Internet y sin parchear. El atacante, identificado como el grupo “Mora_001”, utiliza métodos como ataques a través de la interfaz jsconsole y solicitudes HTTPS directas para explotar las vulnerabilidades. Estos métodos permiten la escalada de privilegios a nivel de “super_admin” sin autenticación previa. Mediante CVE-2023-27997, inyectan un script que descarga el payload de SuperBlack desde un servidor C2. Usando CVE-2022-40684, eliminan reglas de firewall, desactivan IPS/IDS y borran logs.

Persistencia y Lateralidad

Una vez obtenido el acceso, se crean cuentas administrativas adicionales con nombres similares a los legítimos (por ejemplo, “forticloud-tech”, “fortigate-firewall” y “adnimistrator”). Esta técnica, junto con la configuración de tareas automatizadas para recrear cuentas comprometidas, permite a los atacantes mantener el acceso persistente. Además, se utilizan técnicas de movimiento lateral a través de:

• VPN y credenciales robadas.
• Herramientas como Windows Management Instrumentation (WMIC) y SSH.
• Propagación mediante configuraciones de alta disponibilidad (HA) y abuso de infraestructura de autenticación (TACACS+ o RADIUS).

Encriptación y Extorsión

Tras mapear el entorno y recopilar datos, el atacante realiza la exfiltración de información sensible y, posteriormente, despliega el ransomware para cifrar datos críticos, especialmente en servidores de archivos, bases de datos y controladores de dominio. Además, se utiliza un componente denominado “WipeBlack” para borrar evidencias del ransomware, dificultando la respuesta forense. El ransomware cifra archivos críticos (ej: syscfg, fortishield.db) y exfiltra datos vía protocolos HTTP/HTTPS ofuscados. Deja un archivo READ_ME_SUPERBLACK.txt exigiendo pagos en Bitcoin o Monero, con amenazas de filtrar datos robados.

Impacto en Organizaciones

• Parálisis de redes: La corrupción de configuraciones de firewall bloquea el tráfico legítimo.
• Robo de credenciales: SuperBlack extrae claves API, certificados SSL y credenciales VPN almacenadas.
• Costos financieros: El tiempo de inactividad y las multas por violación de datos pueden superar los millones de dólares.

Casos reportados incluyen hospitales, proveedores de energía y entidades gubernamentales.

Cómo Defender un Firewall Fortinet

1. Parcheo Inmediato

• Actualiza a FortiOS 7.4.1 o superior (parchea CVE-2023-27997 y CVE-2022-40684).
• Verifica versiones vulnerables:
  • FortiOS 7.2.x (≤ 7.2.5)
  • FortiOS 7.0.x (≤ 7.0.12)
  • FortiProxy 7.2.x (≤ 7.2.4)

2. Hardening del Dispositivo

• Deshabilita SSL-VPN si no es esencial.
• Restringe el acceso administrativo:
  • Usa MFA para la cuenta admin.
  • Limita direcciones IP permitidas mediante listas de acceso.
• Borra credenciales predeterminadas y cambia contraseñas cada 90 días.

3. Monitoreo Proactivo

• Habilita logs de amenazas y envíalos a un SIEM externo (ej: FortiAnalyzer).
• Busca patrones sospechosos:
  • Comandos /api/v2/cmdb/system/admin no autorizados.
  • Tráfico saliente a direcciones IP en Rusia, China o la dark web.

4. Copias de Seguridad Offline

• Realiza backups diarios de configuraciones y almacénalos en un medio desconectado.
• Utiliza la herramienta FortiConverter para validar la integridad de los archivos.

5. Respuesta ante Incidentes

• Aísla el firewall comprometido de la red.
• No pagues el rescate: Contacta al equipo de Fortinet IR (incidentresponse@fortinet.com) y a autoridades locales.
• Revisa reglas de firewall: Busca políticas añadidas por el atacante para permitir tráfico malicioso.

Linkedin: Aquilino García