Una campaña automatizada de alta velocidad está explotando vulnerabilidades críticas en el Single Sign-On (SSO) de FortiGate para extraer archivos de configuración sensibles, dejando a las empresas expuestas a movimientos laterales.
Si administras firewalls FortiGate, la situación es crítica. Según reportes y analisis recientes, una nueva ola de ciberataques ha comenzado a golpear dispositivos Fortinet en todo el mundo desde el 15 de enero de 2026.
Los atacantes no solo están entrando; están utilizando scripts automatizados para robar las “Llaves del Reino”: los archivos de configuración completos de los dispositivos, los cuales contienen contraseñas hash, reglas de firewall, usuarios de VPN y detalles de la arquitectura interna de la red.
El Vector de Ataque: Fallo en el SSO
La campaña se centra en la explotación de dos vulnerabilidades de Bypass de Autenticación en la función de FortiCloud Single Sign-On (SSO), rastreadas como CVE-2025-59718 y CVE-2025-59719.
- El Engaño: Los atacantes envían mensajes SAML manipulados al dispositivo.
- El Resultado: Logran iniciar sesión con privilegios de “Super Admin” sin necesidad de contraseña válida, eludiendo por completo la autenticación.
- La Escala: Se estima que más de 11,000 dispositivos expuestos en internet son vulnerables a este ataque específico.
Automatización Letal
Lo alarmante de esta campaña es la velocidad. Los investigadores han observado que, tras el inicio de sesión no autorizado, los atacantes ejecutan acciones en cuestión de segundos, lo que confirma el uso de bots:
- Creación de Persistencia: Crean cuentas de administrador fraudulentas (a menudo con nombres genéricos para pasar desapercibidas).
- Exfiltración: Descargan inmediatamente el archivo de configuración del sistema.
- Movimiento Lateral: Con este archivo en mano, los atacantes pueden descifrar contraseñas de usuarios VPN y mapear la red interna para planificar ataques de ransomware más profundos.
Confusión con los Parches
Existe una preocupación grave en la comunidad de seguridad respecto a la eficacia de los parches actuales. Aunque Fortinet lanzó actualizaciones en diciembre (como FortiOS 7.4.9), reportes indican que la versión 7.4.10 aún podría ser vulnerable a variantes de este exploit. Fortinet ha reconocido parcialmente esto y planea lanzar versiones endurecidas (7.4.11, 7.6.6, y 8.0.0) en los próximos días para cerrar definitivamente la brecha.
¿Qué debes hacer ahora?
Si tienes equipos FortiGate con la gestión o el portal SSL-VPN expuesto a internet:
- Desactiva el SSO de FortiCloud: Si no es estrictamente necesario para tu operación diaria, deshabilita la función de inicio de sesión único administrativo hasta que se confirme una solución total.
- Auditoría de Logs: Busca en tus registros de eventos inicios de sesión exitosos desde IPs desconocidas o la creación de nuevos usuarios administradores en fechas recientes (especialmente desde el 15 de enero).
- Cambio de Credenciales: Si sospechas que tu configuración ha sido robada, debes rotar todas las contraseñas: usuarios locales, claves pre-compartidas de VPN, secretos LDAP y cualquier credencial almacenada en el dispositivo. Asume que el atacante ya las tiene.
