Menos de una semana después de la publicación, los actores de amenazas comenzaron a explotar dos vulnerabilidades recientemente descubiertas en los dispositivos Fortinet FortiGate.
La empresa de ciberseguridad Arctic Wolf dijo que observó infracciones activas que involucraban inicios de sesión maliciosos de inicio de sesión único (SSO) en dispositivos FortiGate el 12 de diciembre de 2025. Los ataques explotan dos omisiones de autenticación críticas (CVE-2025-59718 y CVE-2025-59719, puntuaciones CVSS: 9,8). Fortinet lanzó parches para los errores la semana pasada para FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.
“Estas vulnerabilidades permiten eludir la autenticación de inicio de sesión SSO no autenticado a través de mensajes SAML diseñados cuando la función FortiCloud SSO está habilitada en los dispositivos afectados”, dijo Arctic Wolf Labs en un nuevo boletín.
Es importante tener en cuenta que, si bien FortiCloud SSO está deshabilitado de forma predeterminada, se habilita automáticamente al registrarse en FortiCare a menos que los administradores lo desactiven explícitamente a través de la configuración “Permitir inicio de sesión de administrador con FortiCloud SSO” en la página de registro.
En la actividad maliciosa observada por Arctic Wolf, se utilizaron direcciones IP de un número limitado de proveedores de alojamiento, como The Constant Company LLC, Bl Networks y Kaopu Cloud Hk Limited, para realizar inicios de sesión SSO maliciosos para la cuenta “Admin”.
Se descubrió que después de los inicios de sesión, los atacantes exportaron configuraciones de dispositivos a las mismas direcciones IP a través de la GUI.
Dada la actividad de abuso en curso, se recomienda a las organizaciones que apliquen los parches lo más rápido posible. Como solución alternativa, es importante deshabilitar FortiCloud SSO hasta que las instancias se actualicen a la última versión y limitar el acceso al firewall y a las interfaces de administración de VPN a usuarios internos confiables.
“Aunque las credenciales generalmente se procesan en configuraciones de dispositivos de red, se sabe que los actores de amenazas descifran hashes fuera de línea, particularmente cuando las credenciales son débiles y vulnerables a ataques de diccionario”, dijo Arctic Wolf.
Se recomienda a los clientes de Fortinet que encuentren indicadores de compromiso (IoC) asociados con la campaña que asuman el compromiso y restablezcan las credenciales de firewall hash almacenadas en las configuraciones exfiltradas.
About The Author
