(https://i.imgur.com/jCK87Du.jpeg)
Los clientes de Fortinet están enfrentando una situación crítica de seguridad tras detectarse que atacantes están explotando activamente una vulnerabilidad de evasión de autenticación en FortiGate, incluso en dispositivos que ya han sido parcheados. El problema está vinculado a la vulnerabilidad CVE-2025-59718, una falla crítica en el mecanismo de inicio de sesión único (SSO) de FortiCloud, que supuestamente había sido corregida con las versiones más recientes de FortiOS.
Sin embargo, múltiples informes indican que los parches lanzados por Fortinet no solucionaron completamente el problema, lo que ha permitido a los atacantes comprometer cortafuegos FortiGate completamente actualizados, creando cuentas de administrador de forma no autorizada y obteniendo control total del dispositivo.
CVE-2025-59718: una vulnerabilidad que sigue activaLa vulnerabilidad CVE-2025-59718 fue corregida inicialmente a principios de diciembre con el lanzamiento de FortiOS 7.4.9, una actualización destinada a cerrar un fallo de evasión de autenticación en FortiCloud SSO. Posteriormente, Fortinet lanzó FortiOS 7.4.10, que debía reforzar la mitigación del problema.
No obstante, administradores de sistemas afectados aseguran que la vulnerabilidad persiste incluso en FortiOS 7.4.10, algo que, según ellos, habría sido confirmado por el propio equipo de desarrollo de Fortinet. Como respuesta, la compañía planea lanzar nuevas versiones —FortiOS 7.4.11, 7.6.6 y 8.0.0— con el objetivo de corregir definitivamente la falla de seguridad.
Evidencias de explotación en entornos parcheadosUno de los administradores afectados describió un incidente en el que un inicio de sesión malicioso a través de SSO derivó en la creación de una cuenta de administrador local en un FortiGate FGT60F que ejecutaba FortiOS 7.4.9 desde finales de diciembre.
Citar"Tuvimos un inicio de sesión SSO malicioso en uno de nuestros FortiGate con la versión 7.4.9. Nuestro SIEM detectó la creación de una cuenta de administrador local. Tras investigar, todo coincidía con la explotación de CVE-2025-59718, aunque el sistema estaba parcheado desde el 30 de diciembre", explicó el administrador.
Los registros compartidos mostraban que el usuario administrador fue creado tras un inicio de sesión SSO procedente de la cuenta
[email protected] desde la dirección IP 104.28.244.114. Esta actividad coincide de forma notable con los indicadores de compromiso previamente documentados por la empresa de ciberseguridad Arctic Wolf en diciembre de 2025.
Ataques mediante mensajes SAML maliciososSegún Arctic Wolf, los atacantes estaban explotando la vulnerabilidad mediante el envío de mensajes SAML maliciosos, lo que les permitía eludir los controles de autenticación y tomar control de cuentas de administrador en dispositivos FortiGate expuestos.
CitarOtro administrador afectado confirmó un patrón idéntico:
"Observamos la misma actividad, incluso en la versión 7.4.9. El mismo usuario, la misma IP. Se creó un nuevo administrador del sistema llamado 'helpdesk'. Tenemos un ticket abierto con soporte y el equipo de desarrollo de Fortinet ha confirmado que la vulnerabilidad persiste en la 7.4.10".
Estos testimonios refuerzan la preocupación de que los parches actuales son incompletos, dejando a miles de cortafuegos empresariales en riesgo de compromiso total.
Falta de respuesta oficial y medidas temporales de mitigaciónBleepingComputer intentó contactar con Fortinet en varias ocasiones para obtener aclaraciones oficiales sobre estos informes, pero la empresa no ha emitido una respuesta pública hasta el momento.
Mientras se espera una versión completamente corregida de FortiOS, los expertos recomiendan desactivar temporalmente la función vulnerable de inicio de sesión FortiCloud SSO, siempre que esté habilitada, como medida preventiva para reducir la superficie de ataque.
Cómo desactivar FortiCloud SSO en FortiGateLos administradores pueden desactivar el inicio de sesión SSO de FortiCloud desde la interfaz gráfica o mediante la línea de comandos (CLI):
config system global
set admin-forticloud-sso-login disable
end
Desde la interfaz web, la opción se encuentra en:
System > Settings > Allow administrative login using FortiCloud SSO → Off
Alcance real del problema: miles de dispositivos expuestosAunque Fortinet indicó en su aviso original que FortiCloud SSO no está habilitado por defecto si el dispositivo no está registrado en FortiCare, la realidad es que miles de sistemas sí tenían esta función activada.
La organización Shadowserver Foundation identificó más de 25.000 dispositivos Fortinet expuestos en Internet con FortiCloud SSO habilitado a mediados de diciembre. Aunque más de la mitad ya han sido asegurados, más de 11.000 dispositivos siguen accesibles públicamente, lo que los convierte en objetivos atractivos para atacantes.
CISA y otras amenazas activas de FortinetLa gravedad del problema ha llevado a la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) a añadir CVE-2025-59718 a su catálogo de vulnerabilidades explotadas activamente, ordenando a las agencias federales aplicar parches en un plazo máximo de una semana.
Además, los atacantes también están explotando de forma activa una vulnerabilidad crítica en Fortinet FortiSIEM, para la cual ya existe código de exploit de prueba de concepto disponible públicamente, permitiendo la ejecución de código con privilegios root en dispositivos sin parchear.
En fin...La explotación continua de CVE-2025-59718 incluso en sistemas parcheados pone en evidencia los riesgos de correcciones incompletas en infraestructuras de seguridad críticas como los cortafuegos FortiGate. Hasta que Fortinet publique versiones definitivas de FortiOS que mitiguen completamente la vulnerabilidad, desactivar FortiCloud SSO y monitorizar activamente los registros se convierte en una medida esencial.
En un entorno donde los atacantes reaccionan con rapidez a cada parche publicado, la gestión de vulnerabilidades y la defensa en profundidad siguen siendo pilares clave para proteger la red corporativa.
Fuente: https://www.bleepingcomputer.com/