La agencia de seguridad de Países Bajos reveló que hackers chinos infectaron 20 mil dispositivos de Fortinet
Utilizando una vulnerabilidad crítica, piratas informáticos lograron infectar miles de dispositivos VPN FortiGate, burlando medidas de seguridad estándar y manteniéndose indetectables durante semanas
Los funcionarios holandeses informaron por primera vez en febrero que la vulnerabilidad fue utilizada por piratas informáticos chinos para instalar una puerta trasera avanzada en dispositivos Fortigate dentro del Ministerio de Defensa. El malware, conocido como CoatHanger, está diseñado para permanecer en los dispositivos FortiGate y evadir las medidas tradicionales de detección, incluso tras reinicios o actualizaciones de firmware.
El MIVD y el Centro Nacional de Seguridad Cibernética de los Países Bajos mencionaron el lunes que la campaña de ciberespionaje chino es mucho más extensa de lo inicialmente estimado. “Desde entonces, el MIVD ha llevado a cabo más investigaciones y ha demostrado que la campaña de ciberespionaje chino parece ser mucho más extensa de lo que se sabía anteriormente”, subrayaron. Indicaron que la explotación comenzó dos meses antes de la revelación de Fortinet, afectando a 14.000 servidores durante el período de “día cero”.
La advertencia se dirige a agencias gubernamentales occidentales, organizaciones internacionales y empresas del sector defensa, todas las cuales han sido infectadas. Fortinet advirtió el 11 de enero de 2023 sobre la explotación de esta vulnerabilidad por un atacante desconocido que instalaba malware avanzado. Sin embargo, la falta de divulgación oportuna ha suscitado críticas por la gravedad del riesgo. Los funcionarios holandeses añadieron que, aunque la infección se contuvo en un segmento reservado para usos no clasificados, CoatHanger ha demostrado ser resistente a las medidas de eliminación convencionales.
La falta de transparencia de Fortinet respecto a su política de divulgación de vulnerabilidades ha sido particularmente grave. “Las divulgaciones son cruciales porque ayudan a los usuarios a priorizar la instalación de parches. Cuando una nueva versión corrige errores menores, muchas organizaciones suelen esperar para instalarla. Cuando soluciona una vulnerabilidad con una clasificación de gravedad de 9,8, es mucho más probable que aceleren el proceso de actualización”, enfatizaron los informes de seguridad.
El caso subraya la necesidad de una mayor vigilancia en ciberseguridad y la cooperación internacional para abordar las amenazas de ciberespionaje a gran escala. Fortinet ha declinado hacer comentarios sobre su demora en revelar la vulnerabilidad y no ha especificado si ha revisado su política de divulgación.
Los informes de seguridad de los Países Bajos continúan proporcionando actualizaciones y alertas sobre esta situación, instando a todas las organizaciones a revisar y reforzar sus medidas de seguridad para contrarrestar estas amenazas complejas y persistentes.