Hackers están aprovechando vulnerabilidades de severidad crítica que afectan a múltiples productos de Fortinet, con el objetivo de obtener acceso no autorizado a cuentas de administrador y sustraer archivos de configuración del sistema. Las vulnerabilidades, identificadas como CVE-2025-59718 y CVE-2025-59719, fueron advertidas por Fortinet en un aviso el 9 de diciembre, alertando sobre el potencial de su explotación.

La vulnerabilidad CVE-2025-59718 es una omisión de autenticación SSO de FortiCloud que afecta a FortiOS, FortiProxy y FortiSwitchManager. Se origina por una verificación inadecuada de las firmas criptográficas en los mensajes SAML, permitiendo a un atacante iniciar sesión sin autenticación válida mediante el envío de una aserción SAML maliciosamente manipulada.

Por su parte, la CVE-2025-59719 es también una omisión de autenticación SSO de FortiCloud, pero que afecta a FortiWeb. Surge de un problema similar con la validación de la firma criptográfica de los mensajes SAML, habilitando el acceso administrativo no autenticado a través de SSO falsificado.

Es crucial destacar que ambos problemas solo son explotables si FortiCloud SSO está habilitado, una configuración que no es la predeterminada. Sin embargo, a menos que la función se desactive explícitamente, se activa automáticamente al registrar dispositivos a través de la interfaz de usuario de FortiCare.

Investigadores de la empresa de ciberseguridad Arctic Wolf observaron ataques explotando estas vulnerabilidades desde el 12 de diciembre. Notaron que las intrusiones se originaban desde varias direcciones IP vinculadas a The Constant Company, BL Networks y Kaopu Cloud HK.

Los atacantes se enfocaron en cuentas de administrador utilizando inicios de sesión únicos (SSO) maliciosos. Tras obtener acceso a nivel de administrador, accedieron a la interfaz de administración web y realizaron acciones como la descarga de los archivos de configuración del sistema.

Los archivos de configuración pueden exponer diseños de red, servicios expuestos a Internet, políticas de firewall, interfaces potencialmente vulnerables, tablas de enrutamiento y contraseñas hasheadas que podrían ser descifradas si son débiles. La exfiltración de estos archivos sugiere que la actividad no proviene de investigadores mapeando endpoints vulnerables, sino que es parte de una operación maliciosa que podría respaldar futuros ataques.

Para mitigar estos ataques, Fortinet recomienda a los administradores que ejecutan versiones vulnerables deshabilitar temporalmente la función de inicio de sesión de FortiCloud hasta que sea posible actualizar a una versión más segura. Esto se puede hacer desde *System → Settings → “Allow administrative login using FortiCloud SSO” = Off.*

Se recomienda a los administradores de sistemas actualizar a una de las siguientes versiones que abordan ambas vulnerabilidades:

* FortiOS 7.6.4+, 7.4.9+, 7.2.12+ y 7.0.18+
* FortiProxy 7.6.4+, 7.4.11+, 7.2.15+, 7.0.22+
* FortiSwitchManager 7.2.7+, 7.0.6+
* FortiWeb 8.0.1+, 7.6.5+, 7.4.10+

Si se descubren signos de compromiso, se recomienda rotar las credenciales del firewall lo antes posible. Arctic Wolf también recomienda limitar el acceso de administración de firewall/VPN solo a redes internas de confianza.

En INGENIERÍA TELEMÁTICA SAS, como expertos en soluciones Fortinet, incluyendo FortiAnalyzer, FortiManager y FortiSwitch, instamos a nuestros clientes y a la comunidad en general a tomar las medidas correctivas necesarias para proteger sus infraestructuras. Si necesita ayuda para actualizar sus sistemas Fortinet o implementar medidas de seguridad adicionales, no dude en contactarnos a través de nuestro formulario de contacto o por los medios habituales.

Fuente original: Ver aquí