Atacantes están explotando activamente múltiples vulnerabilidades en Fortinet FortiSandbox y, en paralelo, una campaña masiva denominada FortiBleed ha comprometido decenas de miles de firewalls FortiGate en 194 países, incluyendo Colombia. Esta situación subraya la persistente amenaza sobre la infraestructura de seguridad de las organizaciones a nivel global.
Las vulnerabilidades en FortiSandbox incluyen CVE-2026-39813 (path traversal) y CVE-2026-39808 (inyección de comandos de sistema operativo), ambas con una puntuación CVSS de 9.1 y que permiten a atacantes no autenticados evadir la autenticación o ejecutar código arbitrario mediante solicitudes HTTP maliciosas. Una tercera falla, CVE-2026-25089 (inyección de comandos OS con CVSS 9.1), también afecta a FortiSandbox y FortiSandbox Cloud/PaaS, y fue corregida recientemente. Aunque se detectaron intentos de explotación de esta última, los exploits públicos conocidos hasta el momento son defectuosos.
Por otro lado, la campaña FortiBleed, atribuida a actores de amenazas de habla rusa, ha comprometido más de 73.000 URLs únicas de firewalls FortiGate SSL VPN. El modus operandi implica el uso de credenciales filtradas previamente para acceder a dispositivos y, una vez dentro, monitorear el tráfico para recolectar más credenciales, que luego son craqueadas y utilizadas para infiltrarse en entornos de Active Directory. Fortinet ha confirmado que esta campaña se basa en el reuso de credenciales antiguas y ataques de fuerza bruta, no en nuevas vulnerabilidades de día cero, y no representa una nueva brecha de seguridad.
Para las vulnerabilidades de FortiSandbox, Fortinet ha lanzado parches críticos. Las CVE-2026-39813 y CVE-2026-39808 fueron corregidas en abril de 2026, mientras que la CVE-2026-25089 recibió su parche la semana pasada. Se recomienda encarecidamente a los usuarios de FortiSandbox aplicar estas actualizaciones de seguridad de inmediato. Respecto a la campaña FortiBleed, la mitigación principal reside en la implementación de las mejores prácticas de seguridad: rotar regularmente las credenciales de seguridad de los firewalls FortiGate, especialmente de las interfaces de gestión expuestas a Internet, y habilitar la autenticación multifactor (MFA) en todos los accesos.
Qué significa para tu empresa: La persistencia de estos ataques subraya la importancia de mantener una postura de seguridad proactiva y robusta. Más allá de aplicar los parches con diligencia, la protección contra campañas como FortiBleed se refuerza significativamente mediante la implementación estricta de una identidad y MFA robusta para todos los accesos a la infraestructura crítica, especialmente aquellos expuestos a internet. Esto asegura que, incluso si las credenciales son comprometidas, el acceso no autorizado sea bloqueado.
Fuente original: The Hacker News — ver artículo →
#fortinet#cve#exploits#parches-seguridad#ciberataques-infraestructura