La compañía confirma la explotación de una nueva vulnerabilidad crítica (CVE-2026-24858) que permitía a los atacantes saltarse la autenticación en FortiGate, FortiManager y FortiAnalyzer, obligando a un “kill switch” temporal en la nube.
La crisis de seguridad en Fortinet ha escalado a un nuevo nivel. La compañía se vio obligada a tomar una medida sin precedentes: desactivar temporalmente el servicio de FortiCloud Single Sign-On (SSO) a nivel mundial el pasado 26 de enero para detener una hemorragia de accesos no autorizados.
El motivo es el descubrimiento de CVE-2026-24858 (CVSS 9.4), una vulnerabilidad de zero day que los hackers estaban explotando activamente para secuestrar dispositivos incluso si estos ya habían sido actualizados contra las fallas reportadas en diciembre (CVE-2025-59718).
El Fallo: CVE-2026-24858
A diferencia de los ataques anteriores que requerían fuerza bruta o credenciales débiles, este fallo es un Bypass de Autenticación en la lógica de confianza de la nube.
- El Mecanismo: La vulnerabilidad permite a un atacante, que posea una cuenta válida de FortiCloud y un dispositivo registrado legítimamente bajo su control, saltar lateralmente y autenticarse como administrador en dispositivos registrados a nombre de otras víctimas.
- La Condición: El único requisito es que el dispositivo objetivo (la víctima) tenga habilitada la función “FortiCloud SSO”, algo que ocurre automáticamente al registrar el equipo en FortiCare desde la interfaz gráfica.
- Impacto: Esto rompía efectivamente las barreras entre inquilinos (tenants) en la nube de Fortinet, permitiendo a los atacantes acceder a firewalls de terceros como si fueran propios.
La Respuesta Drástica: “Desenchufen la Nube”
Al confirmar que los parches de diciembre no detenían esta nueva variante del ataque, Fortinet ejecutó una maniobra de emergencia:
- Bloqueo de Cuentas: El 22 de enero, identificaron y bloquearon dos cuentas de FortiCloud maliciosas (cloud-noc@mail.io y cloud-init@mail.io) que estaban orquestando los ataques.
- Apagón Global: El 26 de enero, desactivaron la funcionalidad de SSO en el lado del servidor de FortiCloud para todos los clientes, cortando el vector de ataque de raíz mientras preparaban el código.
- Restauración Condicional: El servicio se reactivó el 27 de enero, pero con una nueva regla: ya no aceptará conexiones de dispositivos que no tengan el firmware actualizado.
Software Afectado y Solución
Si administras equipos Fortinet, tu prioridad número uno hoy es actualizar. Las versiones vulnerables ya no podrán usar SSO hasta que se parcheen.
Versiones Corregidas:
- FortiOS: Actualizar a 7.4.11 o superior.
- FortiManager: Actualizar a 7.4.10 o superior.
- FortiAnalyzer: Actualizar a 7.4.10 o superior.
- Nota: Las versiones 7.0 y 7.2 también tienen parches disponibles o inminentes; consulta el aviso oficial FG-IR-26-060. La rama 6.4 no está afectada.
Indicadores de Compromiso (IoC)
Si tienes logs de las últimas semanas, busca actividad sospechosa proveniente de las IPs de los atacantes o la creación de usuarios locales no autorizados.
- Usuarios creados por el atacante: audit, backup, itadmin, secadmin, support.
- Acciones: Los atacantes solían descargar la configuración del sistema y crear cuentas de administrador locales para mantener el acceso (persistencia) incluso después de que se cerrara el agujero del SSO.
