Incidente de Seguridad Fortinet

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía.
Como una de las empresas más destacadas en el ámbito de la ciberseguridad a nivel mundial, Fortinet proporciona una variedad de productos para redes seguras, incluyendo firewalls, enrutadores y dispositivos VPN. Además, la compañía ofrece soluciones en SIEM, administración de redes, y EDR/XDR, así como servicios de consultoría.
Un individuo logró acceder sin autorización a una cantidad limitada de archivos almacenados en la instancia de Fortinet en una unidad de archivos compartida alojada en la nube de terceros. Estos archivos contenían datos restringidos relacionados con una pequeña porción (menos del 0,3 %) de los clientes de Fortinet.

• Hasta el momento, no se ha detectado evidencia de que este incidente haya provocado actividades maliciosas que hayan afectado a ningún cliente.
• Las operaciones, productos y servicios de Fortinet permanecen intactos, sin indicios de acceso no autorizado a otros recursos de la empresa.
• El incidente no involucró cifrado de datos, la implementación de ransomware, ni el acceso a la red corporativa de Fortinet.
• Fortinet implementó de inmediato un plan para proteger a los clientes, manteniéndose en contacto directo con ellos según fuera necesario y apoyando sus esfuerzos en la mitigación de riesgos.
• Dada la naturaleza restringida del incidente, no se ha observado, ni se considera probable que tenga un impacto significativo en la situación financiera o en los resultados operativos de la empresa.

El atacante, identificado bajo el seudónimo "Fortibitch", ha afirmado haber intentado extorsionar a Fortinet con el objetivo de obtener un rescate, presuntamente para evitar la divulgación de datos. No obstante, la empresa decidió no cumplir con la demanda de pago.

Fortinet no ha especificado la cantidad de clientes afectados ni el tipo de datos comprometidos, pero ha indicado que "se ha puesto en contacto directamente con los clientes según lo requerido".
Una vez identificado el incidente, se inició de inmediato una investigación y se contuvo la situación mediante la revocación del acceso del individuo no autorizado. Asimismo, se notificó a las autoridades y a diversas agencias de ciberseguridad a nivel global. Se contrató a una destacada firma forense externa para validar los hallazgos realizados por nuestro propio equipo forense. Además, se han implementado procesos internos adicionales para prevenir la recurrencia de incidentes similares, incluyendo mejoras en el monitoreo de cuentas y en la detección de amenazas, menciona Fortinet.

 

Recomendaciones

• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

1. Fortinet. (2024, 8 de septiembre). Notice of recent security incident. Fortinet. https://www.fortinet.com/blog/business-and-technology/notice-of-recent-security-incident

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios