12 de junio de 2024Sala de prensa Los actores de amenazas patrocinados por el Estado y respaldados por China obtuvieron acceso a 20.000 sistemas Fortinet FortiGate en todo el mundo explotando una falla de seguridad crítica conocida entre 2022 y 2023, lo que indica que la operación tuvo un impacto más amplio de lo que se conocía anteriormente. «El actor estatal detrás de esta campaña ya estaba al tanto de esta vulnerabilidad en los sistemas FortiGate al menos dos meses antes de que Fortinet revelara la vulnerabilidad», dijo el Centro Nacional de Seguridad Cibernética de Holanda (NCSC) en un nuevo boletín. «Durante el llamado período de día cero, solo el actor infectó 14.000 dispositivos». La campaña se dirigió a decenas de gobiernos occidentales, organizaciones internacionales y un gran número de empresas de la industria de defensa. Los nombres de las entidades no fueron revelados. Los hallazgos se basan en un aviso anterior de febrero de 2024, que encontró que los atacantes habían violado una red informática utilizada por las fuerzas armadas holandesas explotando CVE-2022-42475 (puntuación CVSS: 9,8), que permite la ejecución remota de código. La intrusión allanó el camino para la implementación de una puerta trasera con nombre en código COATHANGER desde un servidor controlado por un actor que está diseñado para otorgar acceso remoto persistente a los dispositivos comprometidos y actuar como punto de lanzamiento para más malware. El NCSC dijo que el adversario optó por instalar el malware mucho después de obtener el acceso inicial en un esfuerzo por retener su control sobre los dispositivos, aunque no está claro cuántas víctimas tuvieron sus dispositivos infectados con el implante. El último desarrollo subraya una vez más la tendencia actual de ataques cibernéticos dirigidos a dispositivos periféricos para violar redes de interés. «Debido a los desafíos de seguridad de los dispositivos periféricos, estos dispositivos son un objetivo popular para actores maliciosos», dijo el NCSC. «Los dispositivos perimetrales están ubicados en el borde de la red de TI y regularmente tienen una conexión directa a Internet. Además, estos dispositivos a menudo no son compatibles con las soluciones de detección y respuesta de endpoints (EDR)». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.