Sobre Ciberseguridad
«Es sencillamente poco realista depender del secreto para la seguridad del software informático. Es posible que puedas mantener el funcionamiento exacto del programa fuera de la circulación general, pero ¿puedes evitar que oponentes serios realicen ingeniería inversa en el código? Probablemente no. El secreto de una seguridad sólida: menos dependencia de los secretos.» – Whitfield Diffie, criptógrafo pionero en la criptografía asimétrica
«La seguridad siempre es excesiva hasta que no es suficiente.»- Robbie Sinclair
«Deberíamos tratar los datos electrónicos personales con el mismo cuidado y respeto que el plutonio apto para armas: es peligroso, duradero y una vez que se ha filtrado no hay forma de recuperarlo.» – Cory Doctorow
«He llegado a la conclusión de que si le das un dato a una empresa, eventualmente lo venderán, lo filtrarán, lo perderán o serán pirateados y liberados de él. Realmente no parece haber excepciones y resulta deprimente.» – Brian Krebs
«Como nos hemos dado cuenta, la idea de que la seguridad comienza y termina con la compra de un firewall preempaquetado es simplemente errónea.» – Art Wittman, editor Jefe de Brainyard.
«Un buen programador es alguien que siempre mira a ambos lados antes de cruzar una calle de sentido único.»- Doug Linder
La Vulnerabilidad «SuperBlack»: Un Ransomware Dirigido a Firewalls Fortinet (Análisis Técnico y Estrategias de Mitigación)
En los últimos meses, se ha identificado una nueva variante de ransomware denominada «SuperBlack», que explota vulnerabilidades críticas en dispositivos Fortinet, específicamente en firewalls de las series FortiGate. Este malware combina tácticas de exfiltración de datos con cifrado agresivo, dirigido a organizaciones que dependen de infraestructuras críticas. Este artículo detalla su funcionamiento, impacto y medidas de defensa para administradores de redes.
¿Qué es SuperBlack?
SuperBlack es un ransomware de tipo double extortion (doble extorsión) que, tras infiltrarse en un firewall Fortinet, busca:
- Cifrar configuraciones y logs del dispositivo, bloqueando el acceso administrativo.
- Exfiltrar datos sensibles (credenciales, reglas de firewall) para extorsionar a la víctima.
- Propagarse lateralmente a otros equipos de la red interna.
Su nombre proviene de la manipulación de la tabla de rutas del firewall, marcando dispositivos comprometidos como «superblacklisted».
Vulnerabilidades Explotadas en Fortinet
Según investigaciones, SuperBlack aprovecha dos fallos conocidos:
- CVE-2023-27997 (CVSS 9.8):
- Tipo: Ejecución remota de código (RCE) en FortiOS y FortiProxy.
- Vector: Explota una vulnerabilidad en el servicio SSL-VPN, permitiendo ejecutar comandos sin autenticación.
- CVE-2022-40684 (CVSS 9.6):
- Tipo: Autenticación bypass en la API administrativa.
- Impacto: Permite a los atacantes modificar políticas de firewall y desactivar servicios de seguridad.
Estas vulnerabilidades han sido parcheadas por Fortinet en actualizaciones recientes, pero muchas organizaciones no han aplicado los fixes.
Mecanismos de Ataque de SuperBlack
Fase Inicial: Explotación y Acceso
Los atacantes escanean redes en busca de firewalls Fortinet con SSL-VPN expuesto a Internet y sin parchear. El atacante, identificado como el grupo «Mora_001», utiliza métodos como ataques a través de la interfaz jsconsole y solicitudes HTTPS directas para explotar las vulnerabilidades. Estos métodos permiten la escalada de privilegios a nivel de «super_admin» sin autenticación previa. Mediante CVE-2023-27997, inyectan un script que descarga el payload de SuperBlack desde un servidor C2. Usando CVE-2022-40684, eliminan reglas de firewall, desactivan IPS/IDS y borran logs.
Persistencia y Lateralidad
Una vez obtenido el acceso, se crean cuentas administrativas adicionales con nombres similares a los legítimos (por ejemplo, “forticloud-tech”, “fortigate-firewall” y “adnimistrator”). Esta técnica, junto con la configuración de tareas automatizadas para recrear cuentas comprometidas, permite a los atacantes mantener el acceso persistente. Además, se utilizan técnicas de movimiento lateral a través de:
- VPN y credenciales robadas.
- Herramientas como Windows Management Instrumentation (WMIC) y SSH.
- Propagación mediante configuraciones de alta disponibilidad (HA) y abuso de infraestructura de autenticación (TACACS+ o RADIUS).
Encriptación y Extorsión
Tras mapear el entorno y recopilar datos, el atacante realiza la exfiltración de información sensible y, posteriormente, despliega el ransomware para cifrar datos críticos, especialmente en servidores de archivos, bases de datos y controladores de dominio. Además, se utiliza un componente denominado “WipeBlack” para borrar evidencias del ransomware, dificultando la respuesta forense. El ransomware cifra archivos críticos (ej: syscfg, fortishield.db) y exfiltra datos vía protocolos HTTP/HTTPS ofuscados. Deja un archivo READ_ME_SUPERBLACK.txt exigiendo pagos en Bitcoin o Monero, con amenazas de filtrar datos robados.
Referencia: Las descripciones detalladas del ataque se pueden encontrar en informes de BleepingComputer ( bleepingcomputer.com ) y The Register ( theregister.com ), Forescout Research (cybersecuritydive.com )
Impacto en Organizaciones
- Parálisis de redes: La corrupción de configuraciones de firewall bloquea el tráfico legítimo.
- Robo de credenciales: SuperBlack extrae claves API, certificados SSL y credenciales VPN almacenadas.
- Costos financieros: El tiempo de inactividad y las multas por violación de datos pueden superar los millones de dólares.
Casos reportados incluyen hospitales, proveedores de energía y entidades gubernamentales.
Cómo Defender un Firewall Fortinet
1. Parcheo Inmediato
- Actualiza a FortiOS 7.4.1 o superior (parchea CVE-2023-27997 y CVE-2022-40684).
- Verifica versiones vulnerables:
- FortiOS 7.2.x (≤ 7.2.5)
- FortiOS 7.0.x (≤ 7.0.12)
- FortiProxy 7.2.x (≤ 7.2.4)
2. Hardening del Dispositivo
- Deshabilita SSL-VPN si no es esencial.
- Restringe el acceso administrativo:
- Usa MFA para la cuenta admin.
- Limita direcciones IP permitidas mediante listas de acceso.
- Borra credenciales predeterminadas y cambia contraseñas cada 90 días.
3. Monitoreo Proactivo
- Habilita logs de amenazas y envíalos a un SIEM externo (ej: FortiAnalyzer).
- Busca patrones sospechosos:
- Comandos
/api/v2/cmdb/system/adminno autorizados. - Tráfico saliente a direcciones IP en Rusia, China o la dark web.
- Comandos
4. Copias de Seguridad Offline
- Realiza backups diarios de configuraciones y almacénalos en un medio desconectado.
- Utiliza la herramienta
FortiConverterpara validar la integridad de los archivos.
5. Respuesta ante Incidentes
- Aísla el firewall comprometido de la red.
- No pagues el rescate: Contacta al equipo de Fortinet IR (incidentresponse@fortinet.com) y a autoridades locales.
- Revisa reglas de firewall: Busca políticas añadidas por el atacante para permitir tráfico malicioso.
Tabla Comparativa: SuperBlack vs Otros Ransomwares en Firewalls
| Característica | SuperBlack | LockBit | Clop |
|---|---|---|---|
| Vectores de Ataque | SSL-VPN, API administrativa | Phishing, RDP | Exploits de Zero-Day |
| Objetivo Principal | Configuraciones de firewall | Datos sensibles | Empresas de software |
| Cifrado | AES-256 + RSA-4096 | ChaCha20 | RSA-2048 |
| Exfiltración | Sí (via HTTPS ofuscado) | Sí (Tor) | Sí (MFT) |
| Mitigación Clave | Parchear CVE-2023-27997 | Segmentación de red | Deshabilitar SMBv1 |
SuperBlack representa una evolución peligrosa del ransomware, donde los firewalls ya no son solo defensas, sino objetivos prioritarios. Su capacidad para explotar vulnerabilidades en Fortinet subraya la necesidad de:
- Actualizaciones inmediatas.
- Monitorización continua de amenazas.
- Cultura de ciberseguridad proactiva.
Las organizaciones que dependen de Fortinet deben priorizar el hardening de dispositivos y la formación de equipos en respuesta a incidentes. La prevención no es opcional; es una necesidad crítica en la era de los ataques hiperdirigidos.
Recursos Adicionales: