Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
320×100
970x120
FortiGate bajo ataque: herramientas para la explotación masiva de API expuestas a la venta

FortiGate bajo ataque: herramientas para la explotación masiva de API expuestas a la venta

Redazione RHC : 24 junio 2025 14:35

Un nuevo y alarmante desarrollo está revolucionando el panorama de la ciberseguridad: un actor malicioso ha anunciado en la dark web un exploit altamente sofisticado destinado a comprometer dispositivos FortiGate.

Un nuevo exploit con un precio de 12 000 dólares para firewalls FortiGate ha aparecido a la venta en el popular foro clandestino Exploit. La publicación, publicada por un usuario con el seudónimo Anon-WMG, presenta una herramienta capaz de comprometer masivamente dispositivos Fortinet mediante la explotación de las API expuestas.

Características técnicas del exploit

Denominada “FortiGate API Dump Exploit (~7.2 y anteriores)”, la herramienta es capaz de interactuar con más de 170 endpoints de la API de FortiGate, con compatibilidad declarada para las versiones 6.x y 5.x, y también probada en la versión 7.2.6 y anteriores. Características incluidas:

  • Volcado automático desde más de 170 endpoints de API de Fortinet
  • Extracción de información confidencial: configuraciones de firewall, usuarios locales de VPN, portales SSL, copias de seguridad, claves SNMP, parámetros DNS, HA y NTP
  • Compatibilidad con multihilo (más de 20 hilos) para análisis rápidos y masivos
  • Salida en Formato JSON y archivo de configuración estructurado
  • Encabezados ocultos y módulo de informes dedicado («Report Runner»)

La herramienta está orientada a:

  • Cortafuegos FortiGate con API expuesta (puertos predeterminados: 443 y 10443)
  • SSL/VPN configurado incorrectamente Portales

El autor afirma que el exploit puede comprometer:

  • Credenciales de red internas y administrativas (incluidos hashes y contraseñas cifradas)
  • Tokens SAML/RADIUS/LDAP activos
  • Tokens VPN e ID de sesión IPsec
  • Copias de seguridad completas de la configuración del dispositivo

Impacto, prevalencia y precio de venta

Las implicaciones son graves e incluyen:

  • Acceso interno a la red y movimiento lateral
  • Robo de configuraciones, copias de seguridad y credenciales
  • Compromiso de comunicaciones VPN en curso
  • Posibilidad de escalada mediante tokens de usuario legítimos

La herramienta se ha probado en numerosas versiones de FortiOS: v6.0.9, 6.2.5, 7.0.4, 7.2.1, 7.2.6, 6.2.x y otras.

  • Precio de venta: $12,000
  • Pago en criptomonedas
  • Negociación mediante depósito en garantía para garantizar (al menos formalmente) la transacción
  • Se proporcionaron algunos ejemplos mediante un enlace temporal en «send.exploit.in»
  • El autor advierte que solo se debe contactar con él en caso de Intención real de compra

Contramedidas y recomendaciones

Las organizaciones que utilizan FortiGate deben tomar medidas inmediatas, especialmente si:

  • Las API están expuestas directamente a Internet
  • Los dispositivos utilizan versiones de firmware obsoletas
  • Los portales VPN/SSL no están configurados correctamente

Recomendaciones operativas:

  • Realizar una auditoría inmediata de las interfaces expuestas
  • Actualizar todos los dispositivos a la última versión compatible de FortiOS
  • Restringir el acceso a la API únicamente a direcciones IP internas o autorizadas
  • Habilitar los registros de la API para detectar actividad sospechosa
  • Revocar y regenerar tokens VPN activos, verificando la integridad de las configuraciones

Conclusiones

La disponibilidad de un exploit automatizado como este en el mercado negro pone de manifiesto una vez más la importancia de exponer, incluso parcialmente, interfaces de administración con protección insuficiente. En este caso, el acceso no autenticado a las API de FortiGate puede provocar la vulneración total de una red.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
HackerHood de RHC revela dos nuevos días cero en productos Zyxel
Di Redazione RHC - 21/10/2025

El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...

Immagine del sito
Vulnerabilidad F5 BIG-IP: ¡266.000 dispositivos en riesgo en todo el mundo! 2.500 en Italia
Di Redazione RHC - 20/10/2025

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...

Immagine del sito
El procesador Intel 386 cumple 40 años: comienza la era de los 32 bits
Di Redazione RHC - 20/10/2025

El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...

Immagine del sito
Intel lanza parches urgentes para la nueva variante de Spectre
Di Redazione RHC - 19/10/2025

Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...

Immagine del sito
Ciberataque a aeropuertos europeos: el ransomware Everest se atribuye la responsabilidad
Di Redazione RHC - 18/10/2025

El 20 de septiembre, informamos sobre un ciberataque que paralizó varios aeropuertos europeos, incluidos los de Bruselas, Berlín y Londres-Heathrow. Se trató de un ataque a la cadena de suministro ...