Vulnerabilidades en Fortinet bajo explotación

Fortinet ha confirmado que un par de vulnerabilidades previamente anunciadas y presuntamente corregidas se encuentran bajo explotación activa debido a que las correcciones aplicadas no resolvieron por completo el problema en su producto FortiCloud. La campaña de explotación, aún desconocida, comenzó el 15 de enero de 2026 y emplea ataques automatizados para intentar obtener configuraciones de red y establecer acceso persistente en las redes comprometidas.

CVE-2025-59718 y CVE-2025-59719
Estas vulnerabilidades cuentan con una calificación CVSS3.1 de 9.1, afectan a los siguientes productos: FortiOS, FortiProxy, FortiSwitchManager y FortiWeb. Las vulnerabilidades permiten sobrepasar el sistema de inicio de sesión único (SSO) utilizando mensajes SAML maliciosos, generando la posibilidad de que un actor de amenaza remoto y sin autenticación, pueda conseguir acceso administrativo en los dispositivos afectados.
La organización Arctic Wolf detectó la campaña de ataques que estaba explotando estas dos vulnerabilidades el 15 de enero de 2026. Los ataques se enfocan en sobrepasar la protección de SSO para obtener información sobre la configuración de los dispositivos vulnerados y comprometer cuentas vinculadas o accesibles. En una siguiente etapa del ataque, el enfoque pasa a los dispositivos FortiGate que se encuentren accesibles en la red, cambiando ajustes de firewall y/o VPN, creando usuarios con privilegios de administrador y exfiltrando archivos de configuración. Todo lo anterior permite a los atacantes obtener el equivalente a un mapa de todo lo que podrían atacar más adelante, así como establecer un acceso persistente en la red vulnerada.
Debido a que los eventos de cada ataque detectado pasaron a segundos uno del otro y que han ocurrido múltiples ataques en poco tiempo, se sospecha que son ataques automatizados. Hay aproximadamente 11,000 dispositivos Fortinet vulnerables a estos ataques detectados a nivel mundial.
 

Versiones Afectadas

Productos	Versiones afectadas	Versiones corregidas
FortiOS	Desde la versión 7.6.0 a la versión 7.6.3 Desde la versión 7.4.0 a la versión 7.4.8 Desde la versión 7.2.0 a la versión 7.2.11 Desde la versión 7.0.0 a la versión 7.0.17	Versiones mayores a la 7.6.3, 7.4.8, 7.2.11 o 7.0.17 según corresponda
FortiProxy	Desde la versión 7.6.0 a la versión 7.6.3 Desde la versión 7.4.0 a la versión 7.4.10 Desde la versión 7.2.0 a la versión 7.2.14 Desde la versión 7.0.0 a la versión 7.0.21	Versiones mayores a la 7.6.3, 7.4.10, 7.2.14 o 7.0.21 según corresponda
FortiSwitchManager	Desde la versión 7.2.0 a la versión 7.2.6 Desde la versión 7.0.0 a la versión 7.0.5	Versiones mayores a la 7.2.6 o 7.0.5 según corresponda
FortiWeb	Version 8.0.0 Desde la versión 7.6.0 a la versión 7.6.4 Desde la versión 7.4.0 a la versión 7.4.9	Versiones mayores a la 8.0.0, 7.6.4 o 7.4.9 según corresponda

Recomendaciones

• Actualizar de inmediato, apenas esté disponible una nueva corrección.
• Escanear sistemas en busca de versiones vulnerables, estatus de despliegue de versiones y verificar que FortiCloud SSO esté deshabilitado o con que cuente con las correcciones correspondientes.
• Monitorear eventos de inicio de sesión administrativos, especialmente en busca de orígenes geográficos inesperados o fuera de horario laboral.
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactorial.

Referencias

1. Arctic Wolf Labs. (2026, Enero 21). Arctic Wolf Observes Malicious Configuration Changes On Fortinet FortiGate Devices via SSO Accounts. Arctic Wolf. Recuperado el 23 de enero de 2026, en: https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/
2. Divya. (2026, Enero 23). FortiGate Firewalls Hacked by Automated Scripts to Steal Sensitive Network Configurations. GBHackers. Recuperado el 23 de enero de 2026, en: https://gbhackers.com/fortigate-firewalls-hacked-by-automated-scripts/
3. Gatlan, S. (2026, Enero 23). Fortinet confirms critical FortiCloud auth bypass not fully patched. BleepingComputer. Recuperado el 23 de enero de 2026, en: https://www.bleepingcomputer.com/news/security/fortinet-confirms-critical-forticloud-auth-bypass-not-fully-patched/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios