Vulnerabilidad Crítica Bajo Explotación en Productos Fortinet

Fortinet ha anunciado la aparición de una nueva vulnerabilidad, la cual apareció después de las correcciones para dos vulnerabilidades anunciadas en diciembre de 2025 (CVE-2025-59718 y CVE-2025-59719). La vulnerabilidad fue descubierta después de una serie de ataques automatizados que se pensaba que explotaban las dos vulnerabilidades previamente mencionadas.

CVE-2026-24858
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 9.4, con importancia crítica, y afecta principalmente al componente llamado FortiOS Single Sign-On (SSO o Inicio de Sesión Único), el cual se encuentra en los productos: FortiManager, FortiAnalyzer, FortiProxy, FortiWeb y FortiOS, aumentando la superficie de ataque respecto a las vulnerabilidades anteriores (CVE-2025-59718 y CVE-2025-59719).
La falla que provoca esta vulnerabilidad puede permitir a un atacante explotar FortiCloud SSO para obtener privilegios administrativos en dispositivos FortiOS, FortiManager y FortiAnalyzer registrados, incluyendo aquellos que hayan recibido correcciones a las vulnerabilidades previas, debido a que existe un “camino alternativo” para evadir el inicio de sesión único, incluso en implementaciones SAML diferentes a la de FortiCloud. Sumado a esto, registrar un dispositivo en FortiCare habilita automáticamente el inicio de sesión administrativo a través de SSO, habilitando FortiCloud SSO y abriendo un nuevo vector de ataque si no se tiene cuidado.
Fortinet anunció la desactivación de las cuentas de FortiCloud SSO desde las cuales se estaban llevando a cabo ataques automatizados, así como un bloqueo automático a inicios de sesión desde equipos vulnerables. También comentaron que aún se está investigando si el producto FortiSwitch Manager se ve afectado por esta vulnerabilidad.

Versiones Afectadas

Productos	Versiones afectadas	Versiones corregidas
FortiProxy	Desde la version 7.6.0 a la versión 7.6.4 Desde la version 7.4.0 a la versión 7.4.12 Desde la version 7.2.0 a la versión 7.2.15 Desde la version 7.0.0 a la versión 7.0.22	Versiones superiores a la 7.6.4, 7.4.12, 7.5.12 o 7.0.22 respectivamente
FortiWeb	Desde la version 8.0.0 a la versión 8.0.3 Desde la version 7.6.0 a la versión 7.6.6 Desde la version 7.4.0 a la versión 7.4.11	Versiones superiores a la 8.0.3, 7.6.6 o 7.4.11 respectivamente
FortiAnalyzer	Desde la version 7.6.0 a la versión 7.6.5 Desde la version 7.4.0 a la versión 7.4.9 Desde la version 7.2.0 a la versión 7.2.11 Desde la version 7.0.0 a la versión 7.0.15	Versiones superiores a la 7.6.5, 7.4.9, 7.2.11 o 7.0.15 respectivamente
FortiOS	Desde la version 7.6.0 a la versión 7.6.5 Desde la version 7.4.0 a la versión 7.4.10 Desde la version 7.2.0 a la versión 7.2.12 Desde la version 7.0.0 a la versión 7.0.18	Versiones superiores a la 7.6.5, 7.4.10, 7.2.12 o 7.0.18 respectivamente
FortiManager	Desde la version 7.6.0 a la versión 7.6.5 Desde la version 7.4.0 a la versión 7.4.9 Desde la version 7.2.0 a la versión 7.2.11 Desde la version 7.0.0 a la versión 7.0.15	Versiones superiores a la 7.6.5, 7.4.9, 7.2.11 o 7.0.15 respectivamente

Recomendaciones

• Actualizar los productos afectados a la última versión lo antes posible.
• Revisar y deshabilitar FortiCloud SSO si no se considera necesario (“Allow administrative login using FortiCloud SSO”).
• Rotar credenciales en caso de tener alguna solución de SSO habilitada y conectada dispositivos FortiGate.
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
• Auditar herramientas de acceso remoto (NIST CSF, 2024).
• Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad (NIST CSF, 2024).
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactorial.

Referencias

1. Abrams, L. (2026, Enero 27). Fortinet blocks exploited FortiCloud SSO zero day until patch is ready. BleepingComputer. Recuperado el 28 de enero de 2026, en: https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/
2. Ionut Arghire. (2026, Enero 28). Fortinet Patches Exploited FortiCloud SSO Authentication Bypass. Security Week. Recuperado el 28 de enero de 2026, en: https://www.securityweek.com/fortinet-patches-exploited-forticloud-sso-authentication-bypass/
3. Lakshmanan, R. (2026, Enero 28). Fortinet Patches CVE-2026-24858 After Active FortiOS SSO Exploitation Detected. The Hacker News. Recuperado el 28 de enero de 2026, en: https://thehackernews.com/2026/01/fortinet-patches-cve-2026-24858-after.html

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios