La configuración por defecto es una condena: Fortinet dejó activada una vulnerabilidad y los hackers se lo agradecieron

Arctic Wolf informa sobre las primeras intrusiones en redes de clientes, donde los atacantes accedieron a FortiGate a través de FortiCloud SSO poco después de la divulgación de dos vulnerabilidades críticas de omisión de autenticación — CVE-2025-59718 y CVE-2025-59719. Según la compañía, la actividad sospechosa comenzó el 12 de diciembre de 2025, y las recomendaciones de Fortinet sobre estos problemas se publicaron el 9 de diciembre.

Ambas vulnerabilidades permiten a un atacante no autenticado eludir la verificación de inicio de sesión SSO mediante mensajes SAML especialmente formados, pero con una condición importante: la función FortiCloud SSO debe estar activada en el dispositivo. Se informa que afectan varias líneas de productos de Fortinet — FortiOS, FortiWeb, FortiProxy y FortiSwitchManager. Fortinet precisa además que el inicio de sesión FortiCloud SSO está desactivado en la configuración de fábrica; sin embargo, al registrar el dispositivo a través de FortiCare en la interfaz gráfica, FortiCloud SSO se activa automáticamente si el administrador no desmarca la opción Allow administrative login using FortiCloud SSO en la página de registro.

En los incidentes registrados, Arctic Wolf señala que los inicios de sesión SSO «maliciosos» en FortiGate procedían de un conjunto reducido de proveedores de hosting. Según los registros, los atacantes normalmente accedían con la cuenta admin mediante SSO y posteriormente, a través de la interfaz web, descargaban la configuración del dispositivo a direcciones IP específicas — esto se reflejaba en eventos del tipo System config file has been downloaded by user admin via GUI.

En las recomendaciones de los especialistas se pone especial atención en que si la configuración fue descargada por el atacante, debe considerarse comprometida: aunque las contraseñas en las configuraciones de dispositivos de red generalmente se almacenan en forma de hash, los atacantes a menudo las obtienen por fuerza bruta fuera de línea, especialmente cuando la contraseña es débil y es susceptible a ataques por diccionario. Arctic Wolf también aconseja limitar el acceso a las interfaces de gestión de cortafuegos y pasarelas VPN solo a redes internas de confianza, ya que la explotación masiva suele apoyarse en la búsqueda de dispositivos «adecuados» mediante motores de búsqueda especializados.

También se indican las versiones que hay que instalar para mitigar el problema. Para FortiOS de la rama 7.6 son vulnerables 7.6.0–7.6.3 (solución — 7.6.4+), para 7.4 — 7.4.0–7.4.8 (solución — 7.4.9+), para 7.2 — 7.2.0–7.2.11 (solución — 7.2.12+), para 7.0 — 7.0.0–7.0.17 (solución — 7.0.18+). De forma similar se indican rangos para FortiProxy (7.6.0–7.6.3 → 7.6.4+, 7.4.0–7.4.10 → 7.4.11+, 7.2.0–7.2.14 → 7.2.15+, 7.0.0–7.0.21 → 7.0.22+), FortiSwitchManager (7.2.0–7.2.6 → 7.2.7+, 7.0.0–7.0.5 → 7.0.6+) y FortiWeb (8.0.0 → 8.0.1+, 7.6.0–7.6.4 → 7.6.5+, 7.4.0–7.4.9 → 7.4.10+). Además se subraya que FortiOS 6.4, FortiWeb 7.0 y FortiWeb 7.2 no se ven afectados.

Como solución temporal, Fortinet recomienda desactivar el inicio de sesión FortiCloud, si está activado, hasta actualizar a una versión segura. Esto se puede hacer en la interfaz System -> Settings, cambiando Allow administrative login using FortiCloud SSO a Off, o mediante el siguiente comando en la CLI:

config system global
set admin-forticloud-sso-login disable
end