Boletín 28 de Octubre

Author

Ramón Salado
October 28th, 2024

  1. Vulnerabilidad Crítica Fortinet FortiManager CVE-2024-47575

  2. Las cadenas hoteleras en pie de guerra contra los ciberataques

  3. UnitedHealth sufre el mayor ciberataque en la historia del sector salud de Estados Unidos

Vulnerabilidad Crítica Fortinet FortiManager CVE-2024-47575

Según afirma el propio fabricante: “la falta de autenticación en una función crítica [CWE-306] en el demonio fgfmd de FortiManager permite que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de peticiones diseñadas especialmente”.

El descubrimiento surge a través de la empresa Mandiant, que observó un nuevo grupo de amenazas que ahora rastreamos como UNC5820 que explota la vulnerabilidad FortiManager el 27 de junio de 2024. UNC5820 preparó y exfiltró los datos de configuración de los dispositivos FortiGate administrados por el FortiManager explotado. Estos datos contienen información de configuración detallada de los dispositivos administrados, así como de los usuarios y sus contraseñas con hash FortiOS256. UNC5820 podría usar estos datos para comprometer aún más FortiManager, moverse lateralmente a los dispositivos Fortinet administrados y, en última instancia, atacar el entorno empresarial. 

Equipos expuestos vulnerables

Incluso la propia Movistar ha sufrido un grave incidente de Seguridad en grandes clientes como consecuencia de la explotación (fuente)

Recursos afectados

  • FortiManager 7.6: actualizar a la versión 6.1 o superior.

  • FortiManager 7.4: actualizar a la versión 7.4.5 o superior.

  • FortiManager 7.2: actualizar a la versión 7.2.8 o superior.

  • FortiManager 7.0: actualizar a la versión 7.0.13 o superior.

  • FortiManager 6.4: actualizar a la versión 6.4.15 o superior.

  • FortiManager 6.2: actualizar a la versión 6.2.13 o superior.

  • FortiManager Cloud 7.4: actualizar a la versión 7.4.5 o superior.

  • FortiManager Cloud 7.2: actualizar a la versión 7.2.8 o superior.

  • FortiManager Cloud 7.0: actualizar a la versión 7.0.13 o superior.

  • FortiManager Cloud 6.4: actualizar a una versión estable.

Recomendaciones

  1. Limitar el acceso al portal de administración de FotiManager

  2. Que sólo las direcciones de FortiGate permitidas comuniquen con FortiManager

  3. Impedir que FortiGate’s desconocidos se asocien a su FotiManager

  4. Ya se han desarrollado diferentes Reglas Yara, y se disponen de los siguientes indicadores de compromiso:

IOC

Descripción

45.32.41.202

UNC5820

104.238.141.143

UNC5820

158.247.199.37

UNC5820

195.85.114.78

UNC5820

.tm

Archivo de archivos de configuración

9DCFAB171580B52DEAE8703157012674

Hash MD5 de unreg_devices.txt

Las cadenas hoteleras en pie de guerra contra los ciberataques

“Para los ciberdelincuentes, obtener acceso a los datos de las reservas de hoteles es similar a ganar el premio gordo. Una vez que violan las medidas de seguridad, pueden obtener números de tarjetas de crédito, información de pasaporte, detalles de vuelos y más. El sector hotelero es particularmente vulnerable a amenazas como la clonación de sitios web y las campañas de phishing, el fraude con tarjetas de crédito, el robo de identidad y, no menos importante, el riesgo de malware  DarkHotel, donde  el código malicioso se carga en los servidores del hotel y los atacantes pueden dirigirse a usuarios específicos que son huéspedes.“

“La ciberseguridad se ha convertido desde hace mucho tiempo en una preocupación apremiante para los gerentes de hoteles en todo el mundo y, por supuesto, en España, donde la industria del turismo es particularmente importante económicamente“

UnitedHealth sufre el mayor ciberataque en la historia del sector salud de Estados Unidos

“En febrero de este año, la gigante aseguradora de salud estadounidense UnitedHealth, a través de su unidad tecnológica Change, sufrió un ciberataque sin precedentes que expuso información personal de aproximadamente 100 millones de personas, convirtiéndose en la mayor violación de datos de atención médica en la historia del país. Este hecho histórico, ahora conocido como el caso de “Elevance Health” por su magnitud y relevancia en el sector, ha superado la grave brecha de seguridad de 2015 que afectó a 79 millones de personas en Anthem (hoy también parte de Elevance Health), marcando un antes y un después en los desafíos de seguridad cibernética en el ámbito de la salud.“

“El ataque fue atribuido al grupo de ciberdelincuentes ALPHV, también conocido como “BlackCat”. Este grupo, identificado previamente en otras operaciones de ransomware de alto perfil, es conocido por su capacidad de infiltrarse en sistemas complejos y extraer información sensible, aprovechando vulnerabilidades en infraestructuras de alta criticidad como el sector de la salud.“

SOC 24/7

Nuestro servicio de ciberSOC desarrolla una monitorización de seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente de seguridad.

Auditoría de Seguridad

Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así a prueba a toda la organización.