Nuevos hallazgos de Shadowserver muestran que los sofisticados ataques cibernéticos que aprovechan la tecnología de persistencia del enlace simbólico han arruinado más de 17,000 dispositivos Fortinet en todo el mundo.
Se espera que el número de dispositivos afectados aumente del informe inicial entre 14,000 y 17,000, y aumente a medida que continúa la encuesta.
El ataque explota una vulnerabilidad previamente conocida en los dispositivos Fortinet FortiGate. Esto incluye varios defectos importantes que se han publicado en los últimos años.
Después de obtener acceso inicial, el actor de amenaza implementó un enlace simbólico (Symlink) que conecta el sistema de archivos de usuario en la carpeta utilizada para proporcionar el archivo de idioma para la función SSL-VPN al sistema de archivos raíz.
Este enlace simbólico permitió a los atacantes mantener el acceso de solo lectura a archivos y configuraciones confidenciales en dispositivos comprometidos. Los cambios se realizaron en el sistema de archivos de usuario, pero esto generalmente no se sobrescribe durante las actualizaciones de firmware estándar.
Dispositivos afectados
Este gráfico muestra un rápido aumento en los dispositivos Fortinet comprometidos en varias regiones entre el 11 de abril y el 16 de abril de 2025.
Asia es la más afectada, que representa aproximadamente la mitad del total de casos, ya que Europa y América del Norte representan una parte significativa de los dispositivos afectados seguidos. América del Sur, África y Oceanía muestran mucho menos números en comparación.
El número total de dispositivos afectados superó los 17.009, y la mayoría del aumento ocurre en cuestión de días, destacando la escalada global y repentina de este ataque icónico de enlace.
Como resultado, incluso después de que una organización remató el dispositivo para abordar la vulnerabilidad original, quedaron finos maliciosos, proporcionando acceso permanente al atacante.
Las autoridades de seguridad advierten que el acceso del atacante puede incluir archivos de configuración confidenciales, credenciales y claves de cifrado. En algunos casos, el compromiso podría haber comenzado ya en 2023, lo que sugiere que la campaña no se ha detectado durante bastante tiempo.
Respuestas y recomendaciones de Fortinet
Fortinet respondió notificando directamente a los clientes afectados y publicando actualizaciones para múltiples versiones de Fortios.
Estas actualizaciones están diseñadas para detectar y eliminar enlaces delgados maliciosos y evitar técnicas de persistencia similares en el futuro. La compañía insta a todos los clientes a actualizar a la última versión de Fortios, incluyendo 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16.
Sin embargo, las agencias de ciberseguridad enfatizan que aplicar un parche solo no es suficiente. La organización recomienda encarecidamente:
Aislar los dispositivos comprometidos de la red y realizar una investigación forense exhaustiva para determinar el alcance de la violación que restablece todas las credenciales y secretos de autenticación que pueden haberse publicado.
Los dispositivos que nunca han habilitado la función SSL-VPN no se consideran afectados por este vector de ataque particular.
Este incidente destaca las tendencias problemáticas de los ataques cibernéticos. Los actores de amenaza no solo explotan rápidamente las vulnerabilidades conocidas, sino que también incorporan un mecanismo de mantenimiento que les permite resistir los esfuerzos de remediación estándar.
La capacidad de mantener el acceso incluso después de parchear plantea un riesgo importante a largo plazo, especialmente para las organizaciones que administran infraestructura crítica.
A medida que la investigación continúa, los expertos en seguridad alentarán a las organizaciones a permanecer atentos, asegurar que todos los dispositivos estén completamente parcheados y verificar la configuración de su sistema para obtener indicaciones de cambios no autorizados o mecanismos persistentes prolongados.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
