La ventana de oportunidad para parchear tranquilamente se ha cerrado. Fortinet ha actualizado su aviso de seguridad para confirmar que las vulnerabilidades críticas reveladas hace apenas unos días (particularmente en FortiOS y FortiProxy) están siendo explotadas activamente en la naturaleza (“in the wild”).
Esto significa que ya no estamos ante un fallo teórico que “podría” ser usado. Grupos de ciberdelincuentes y posiblemente actores estatales han automatizado el ataque y están escaneando Internet para secuestrar cualquier dispositivo FortiGate que no haya aplicado la actualización de emergencia.
El Vector de Ataque
Los atacantes están aprovechando la vulnerabilidad CVE-2025-59718 .
Como informamos anteriormente, este fallo permite a un atacante remoto eludir la autenticación.
- Lo que está pasando: Los hackers envían solicitudes manipuladas al panel de administración del firewall. El dispositivo, confundido por el fallo, les deja entrar como si serán legítimos.
- El Objetivo: Una vez dentro, están inyectando scripts maliciosos, descargando configuraciones VPN (para entrar a la red interna más tarde) y, en algunos casos, desplegando Ransomware directamente en los servidores conectados.
¿Por qué Fortinet siempre es el objetivo?
Los dispositivos FortiGate son “Edge Devices” (dispositivos de borde). Son la muralla que separa Internet de la red privada de la empresa. Si controlas la muralla, controlas el castillo.
Además, estos dispositivos no suelen tener un antivirus instalado dentro de ellos que detecta si han sido modificados, lo que los hace perfectos para esconderse.
Indicadores de Compromiso (IoC)
Si tienes un FortiGate y no parcheaste ayer, debes asumir que ya has sido comprometido. No basta con actualizar ahora.
- Revisa los Logs: Busca accesos de administrador desde IPs desconocidas o geográficamente extrañas en las últimas 72 horas.
- Usuarios Fantasma: Verifica si se han creado nuevas cuentas de usuario con privilegios de super_admin que tú no reconoces.
- Configuración cambiada: Revise si han cambiado las reglas de DNS o si hay túneles VPN nuevos.
Acción Inmediata (Mitigación)
Si no puede aplicar el nuevo firmware en este preciso instante por razones operativas, debe cortar el acceso externo al panel de administración:
- Deshabilita el acceso HTTPS/SSH a la interfaz de gestión desde la interfaz WAN (Internet).
- Permite la administración solo desde una IP interna de confianza oa través de una consola local.
Recordatorio Técnico (CVEs Activos)
Asegúrese de que su equipo de seguridad busque y remedie estos códigos hoy mismo:
| Identificación CVE | Estado | Impacto | Acción requerida |
| CVE-2025-59718 | Bajo ataque activo | Evasión de Autenticación | Actualizar Firmware |
| CVE-2025-59719 | Riesgo Alto | Evasión de Autenticación | Actualizar Firmware |
