Más de 16,000 dispositivos Fortinet expuestos a Internet han sido comprometidos con una nueva puerta trasera basada en enlaces simbólicos. Esta técnica permite a los atacantes acceder en modo de solo lectura a archivos confidenciales en equipos que ya habían sido vulnerados, abriendo la puerta a filtraciones masivas de información crítica. El hallazgo fue reportado por The Shadowserver Foundation, una reconocida plataforma de monitoreo de amenazas, que inicialmente detectó unos 14,000 casos. Sin embargo, esa cifra no tardó en crecer. Según Piotr Kijewski, investigador de Shadowserver, ya se han identificado 16,620 dispositivos afectados por este mecanismo de persistencia recientemente descubierto.
En pocas palabras, miles de empresas están enfrentando un problema serio que ni siquiera sabían que tenían. Esta puerta trasera no solo compromete la seguridad de redes corporativas y gubernamentales, también pone sobre la mesa una verdad incómoda: los ciberatacantes están innovando más rápido que muchas defensas.
La semana pasada, Fortinet lanzó una advertencia importante para sus clientes: descubrieron que un grupo de atacantes encontró una forma de mantener acceso a ciertos dispositivos FortiGate, incluso después de que estos fueron parcheados. Lo hicieron a través de un método bastante ingenioso que les permite seguir leyendo archivos confidenciales del sistema, aunque ya no puedan modificar nada.
Lo curioso es que no se trata de una nueva vulnerabilidad, sino de algo que viene ocurriendo desde 2023. Durante ese tiempo, los atacantes explotaron varias fallas tipo "día cero" para entrar a los sistemas FortiOS. Y una vez dentro, hicieron algo muy sutil pero efectivo: crearon enlaces simbólicos (symlinks) desde una carpeta que normalmente se usa para los archivos de idioma del sistema (en dispositivos con VPN SSL habilitado) hacia el sistema de archivos raíz.
¿Por qué es eso un problema? Porque esos archivos de idioma suelen ser de acceso público. Así que, al redirigirlos de esa forma, el atacante seguía teniendo acceso de lectura al corazón del sistema, incluso después de que se aplicaban las actualizaciones de seguridad. Es decir, podían seguir espiando sin que nadie se diera cuenta.
Fortinet lo explicó claramente: aunque el dispositivo esté actualizado, esos symlinks pueden seguir ahí, permitiendo a los atacantes leer archivos sensibles como configuraciones del sistema. No pueden modificar nada, pero solo con leer ya pueden obtener mucha información útil.
Para colmo, esta técnica es difícil de detectar, porque se esconde en partes del sistema que suelen pasar desapercibidas. Por eso, este mes, Fortinet empezó a enviar correos directos a sus clientes afectados, avisándoles si alguno de sus dispositivos FortiGate había sido detectado con esta puerta trasera activa, gracias al monitoreo de su sistema FortiGuard. En resumen: aunque hayas parcheado tus dispositivos, si no haces una revisión más profunda, podrías seguir expuesto sin saberlo.
Correos electrónicos enviados a los propietarios de dispositivos comprometidos
Fortinet ya lanzó una actualización para su sistema antivirus y de prevención de intrusiones (AV/IPS) que detecta y elimina automáticamente el enlace simbólico malicioso en los dispositivos afectados. Además, la versión más reciente del firmware también viene preparada para hacer lo mismo: detectar el enlace y borrarlo. Como parte de esa mejora, ahora el servidor web integrado bloquea el acceso a archivos o carpetas que no deberían estar ahí.
Eso sí, si tu dispositivo resultó estar comprometido, hay algo importante que debes tener en cuenta: los atacantes podrían haber accedido a archivos de configuración recientes, y eso incluye credenciales. Así que, como medida de seguridad, debes restablecer todas las contraseñas y seguir los pasos adicionales que Fortinet indica en su guía. No es algo que se pueda dejar para después.