Si pensabas que estabas a salvo porque “FortiCloud SSO viene desactivado por defecto”, piénsalo dos veces. Un nuevo escaneo masivo realizado por la organización de vigilancia Shadowserver ha revelado una cifra alarmante: más de 25,000 dispositivos Fortinet están actualmente visibles en Internet con la función vulnerable activada.
Estos dispositivos son blancos perfectos para las vulnerabilidades críticas CVE-2025-59718 y CVE-2025-59719 (CVSS 9.8), que permiten a los atacantes saltarse la autenticación y tomar el control total del firewall sin contraseña.
El Mapa del Peligro
- Total, Global: Más de 25,000 dispositivos detectados.
- Puntos Calientes: Estados Unidos lidera la lista con 5,400 dispositivos expuestos, seguido de India con casi 2,000.
- El Riesgo: Cada una de estas IPs está a un solo script de distancia de ser comprometida, ya que los ataques están automatizados y activos desde el 12 de diciembre.
El Checkbox Traicionero
La gran pregunta es: Si la función viene desactivada de fábrica, ¿por qué hay 25,000 dispositivos expuestos?
El problema es de UX (Experiencia de Usuario). Cuando un administrador registra su nuevo FortiGate en el servicio de soporte (FortiCare) a través de la interfaz gráfica (GUI), el sistema activa automáticamente la opción “Allow administrative login using FortiCloud SSO”.
A menos que el administrador desmarque explícitamente esa casilla durante el registro (algo que casi nadie hace por las prisas), la puerta trasera queda abierta sin que nadie se dé cuenta.
¿Qué hacen los atacantes una vez dentro?
- Exportan la Configuración: Descargan el archivo de backup del firewall.
- Roban Hashses: Ese archivo contiene las contraseñas hasheadas de todos los usuarios locales y VPN.
- Persistencia: Crean túneles o usuarios locales para volver a entrar incluso si después parcheas el fallo del SSO.
Verificación Urgente (Comando CLI)
No confíes en tu memoria. Ejecuta este comando en la consola de tus equipos FortiGate ahora mismo para ver la realidad:
show system global | grep admin-forticloud-sso-login
Si el resultado es enable, estás en la lista de objetivos. Ejecuta esto para salirte:
config system global
set admin-forticloud-sso-login disable
end
Resumen del Incidente
| Dato | Detalle |
| Vulnerabilidad | Bypass de Autenticación FortiCloud SSO (CVE-2025-59718) |
| Dispositivos Expuestos | > 25,000 (Según Shadowserver) |
| Causa Raíz | Activación automática al registrar en FortiCare |
| Estado de Ataque | Explotación Activa (Robo de Configuración/Credenciales) |
| Acción | Desactivar SSO vía CLI inmediatamente |
