La infraestructura de gestión centralizada de redes corporativas está en riesgo. Los administradores deben aplicar parches urgentes contra ataques de desbordamiento de búfer e inyecciones de comandos.
El gigante de la ciberseguridad ha emitido una alerta masiva para sus clientes empresariales. Hoy, 10 de marzo de 2026, se reporta que Fortinet publicó un extenso aviso de seguridad abordando un total de 11 vulnerabilidades que afectan a sus productos de infraestructura centrales, incluyendo FortiManager, FortiAnalyzer, FortiSwitchAXFixed y FortiSandbox.
Los fallos descubiertos abarcan un espectro técnico alarmante: desde la temida omisión de autenticación y desbordamientos de búfer, hasta la inyección de comandos del sistema operativo (OS) e inyecciones SQL.
Peligro Crítico: Ejecución Remota de Código (RCE)
Dos de estas vulnerabilidades han recibido una calificación de severidad Alta, ya que representan un riesgo inminente de ejecución de código para los entornos no parcheados:
- CVE-2026-22627 (CWE-120): Se trata de un desbordamiento de búfer clásico ubicado en el campo LLDP OUI de las versiones 1.0.0 y 1.0.1 de FortiSwitchAXFixed. Este fallo permite a los atacantes sobrescribir la memoria adyacente, habilitando la ejecución de código arbitrario directamente en el dispositivo.
- CVE-2025-54820 (CWE-121): Este desbordamiento de búfer basado en la pila afecta críticamente al servicio fgtupdates de FortiManager (en sus versiones 7.4.0 a 7.4.2 y 7.2.9 a 7.2.10). Un ciberdelincuente podría detonar la ejecución remota de código enviando una simple solicitud de actualización manipulada.
La Caída de las Defensas: Omisión de MFA y Fuerza Bruta
Tres vulnerabilidades distintas atacan directamente los mecanismos de autenticación, creando grietas severas en las capas de defensa administrativa:
- El salto del MFA (CVE-2026-22572): Este peligroso fallo permite omitir la autenticación utilizando una ruta alternativa en la interfaz gráfica (GUI) de FortiAnalyzer y FortiManager (versiones 7.6.0–7.6.3 y sus variantes en la nube). En la práctica, esto permite a un atacante eludir por completo la Autenticación Multifactor (MFA) configurada en la red.
- Fuerza bruta sin bloqueos (CVE-2026-22629): Una condición de carrera (race condition) en el mecanismo de bloqueo de intentos fallidos permite a los atacantes realizar fuerza bruta para adivinar credenciales sin desencadenar bloqueos de cuenta en las plataformas FortiAnalyzer y FortiManager.
- Ataque Man-in-the-Middle (CVE-2025-68482): Una validación inadecuada del certificado TLS durante el proceso de inicio de sesión único (SSO) inicial en la GUI de FortiManager facilita la interceptación y manipulación de la red.
Inyección de Comandos y Escalada de Privilegios
El boletín de seguridad también detalla brechas internas que facilitan la toma de control profunda del sistema:
- El CVE-2026-25836 es una vulnerabilidad de inyección de comandos de sistema operativo descubierta en la función de actualización de vmimages de FortiSandbox Cloud 5.0.4, permitiendo el compromiso total del sistema a través de la GUI.
- El CVE-2025-48418 expone una función de línea de comandos (CLI) oculta y no documentada en FortiManager y FortiAnalyzer, la cual permite a atacantes con acceso básico escalar sus privilegios mucho más allá de su nivel autorizado.
- Adicionalmente, se solucionó un fallo de control de acceso (CVE-2026-22628) en FortiSwitchAXFixed que permite evadir las restricciones de shell configuradas mediante la alteración del protocolo SSH local.
Plan de Acción Inmediato
Para proteger tu infraestructura hoy mismo, la prioridad absoluta es aplicar los parches oficiales lanzados por Fortinet, prestando especial atención a las mitigaciones de desbordamiento de búfer. Además, se recomienda auditar rigurosamente las configuraciones de MFA en los despliegues de FortiManager, restringir el acceso SSH/CLI exclusivamente a administradores de confianza y monitorear los registros en busca de patrones de autenticación inusuales.
