Fortinet Corrige una Vulnerabilidad Crítica en FortiOS Tras Explotaciones Act…
Publicado el
Actualización Crítica de Seguridad de Fortinet
Fortinet ha iniciado la distribución de actualizaciones de seguridad para abordar una vulnerabilidad crítica en FortiOS, observada en explotación activa recientemente. La vulnerabilidad, designada como CVE-2026-24858 y con un puntaje CVSS de 9.4, está relacionada con un bypass de autenticación en el sistema de inicio de sesión único (SSO) de FortiOS. Este problema también afecta a FortiManager y FortiAnalyzer.
Según un comunicado de la compañía, se está investigando si otros productos, como FortiWeb y FortiSwitch Manager, también están afectados por esta falla. Fortinet ha señalado que: "Una vulnerabilidad de bypass de autenticación utilizando un camino o canal alternativo [CWE-288] en FortiOS, FortiManager y FortiAnalyzer puede permitir que un atacante con una cuenta de FortiCloud y un dispositivo registrado acceda a otros dispositivos registrados a cuentas ajenas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos".
Es importante destacar que la función de inicio de sesión SSO de FortiCloud no está habilitada por defecto en la configuración de fábrica. Solo se activa en situaciones donde un administrador registra el dispositivo en FortiCare desde la interfaz gráfica, a menos que se haya dado el paso de activar explícitamente la opción de "Permitir inicio de sesión administrativo utilizando FortiCloud SSO".
### Explotaciones Recientes
La situación se ha desarrollado después de que Fortinet confirmara que actores de amenazas no identificados estaban abusando de un nuevo método de ataque para lograr inicios de sesión SSO sin necesidad de autenticación. Este acceso fue utilizado para crear cuentas de administrador local para mantener la persistencia, realizar cambios de configuración que otorgaban acceso VPN a dichas cuentas y exfiltrar configuraciones de cortafuegos.
Durante la última semana, Fortinet ha tomado varias medidas: - El 22 de enero de 2026, se bloquearon dos cuentas de FortiCloud maliciosas (cloud-noc@mail.io y cloud-init@mail.io). - El 26 de enero de 2026, se deshabilitó la función SSO de FortiCloud. - El 27 de enero de 2026, se volvió a habilitar el SSO de FortiCloud, desactivando la opción de inicio de sesión desde dispositivos con versiones vulnerables.
Esto implica que los clientes deben actualizar a las últimas versiones del software para que la autenticación SSO de FortiCloud funcione correctamente. Fortinet también insta a los usuarios que detecten signos de compromiso a tratar sus dispositivos como si estuvieran comprometidos, recomendando las siguientes acciones: - Asegurarse de que el dispositivo esté ejecutando la última versión del firmware. - Restaurar la configuración a una versión limpia conocida o auditar los cambios no autorizados. - Rotar las credenciales, incluyendo cualquier cuenta LDAP/AD que pueda estar conectada a los dispositivos FortiGate.
### Recomendaciones de CISA
La reciente vulnerabilidad ha llevado a la Cybersecurity and Infrastructure Security Agency (CISA) de EE. UU. a incluir CVE-2026-24858 en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), exigiendo a las agencias del Federal Civilian Executive Branch (FCEB) que remienden los problemas antes del 30 de enero de 2026.
El 28 de enero de 2026, CISA emitió una guía adicional sobre CVE-2026-24858, señalando que permite a "actores maliciosos con una cuenta de FortiCloud y un dispositivo registrado iniciar sesión en dispositivos separados registrados a otros usuarios en FortiOS, FortiManager, FortiWeb, FortiProxy y FortiAnalyzer, si el SSO de FortiCloud está habilitado en los dispositivos". Todos los clientes de FortiOS, FortiManager, FortiAnalyzer, FortiProxy y FortiWeb están afectados y deben actualizar a la última versión para restaurar los servicios SSO de FortiCloud.
Fortinet continúa investigando la exposición de FortiSwitch Manager ante esta vulnerabilidad. La compañía ha confirmado que la problemática afecta únicamente al SSO de FortiCloud y no impacta implementaciones de SAML IdP de terceros o de FortiAuthenticator. CISA también aconseja a los usuarios que "verifiquen los indicadores de compromiso en todos los productos de Fortinet accesibles por Internet afectados por esta vulnerabilidad y apliquen actualizaciones tan pronto como estén disponibles siguiendo las instrucciones de Fortinet."