Vulnerabilidad crítica en FortiCloud SSO afecta a firewalls FortiGate actuali…
Publicado el
Vulnerabilidad en FortiCloud SSO
Fortinet ha confirmado una vulnerabilidad activa en su sistema de autenticación FortiCloud SSO, que afecta a los firewalls FortiGate incluso cuando están completamente actualizados. Esta situación ha generado preocupación tras la identificación de nuevos intentos de explotación en dispositivos que habían recibido los últimos parches.
El director de seguridad de la información de Fortinet, Carl Windsor, informó que, en las últimas 24 horas, se han detectado varias instancias donde el ataque fue dirigido a dispositivos que estaban actualizados, sugiriendo un nuevo vector de ataque. Este problema se relaciona con la elusión de los parches implementados para abordar las vulnerabilidades CVE-2025-59718 y CVE-2025-59719, las cuales permiten eludir la autenticación SSO mediante mensajes SAML manipulados si la función FortiCloud SSO está habilitada.
Actividad maliciosa detectada
A pesar de que Fortinet había abordado estas vulnerabilidades el mes anterior, se han reportado recientemente casos de inicios de sesión SSO maliciosos en dispositivos FortiGate. Estos incidentes han sido similares a los observados en diciembre, tras la divulgación de las vulnerabilidades mencionadas. Los atacantes han creado cuentas genéricas para persistir en el sistema, han realizado cambios de configuración para otorgar acceso VPN a estas cuentas y han exfiltrado configuraciones del firewall a diferentes direcciones IP.
Los actores de amenazas han sido observados utilizando cuentas como "cloud-noc@mail.io" y "cloud-init@mail.io" para llevar a cabo sus actividades. Esto resalta la necesidad de que las organizaciones tomen medidas preventivas para proteger sus sistemas.
Recomendaciones de mitigación
Ante esta situación, Fortinet ha recomendado las siguientes acciones: 1. Restringir el acceso administrativo de los dispositivos de red a través de Internet aplicando una política local-in. 2. Desactivar inicios de sesión FortiCloud SSO deshabilitando la opción "admin-forticloud-sso-login".
Es crucial mencionar que, aunque actualmente solo se ha observado la explotación de FortiCloud SSO, este problema se aplica a todas las implementaciones de SAML SSO. Las organizaciones deben mantenerse alerta y revisar sus configuraciones de seguridad para evitar posibles brechas.