Los investigadores advierten sobre la actividad de intrusión que se descubrió por primera vez el viernes dirigida a los dispositivos Fortinet FortiGate utilizando inicios de sesión maliciosos de inicio de sesión único (SSO). según un blog publicado el lunes del lobo ártico.
La actividad de amenazas se produce aproximadamente una semana después de Fortinet. reveló dos vulnerabilidades críticas de omisión de autenticación en múltiples productos. Fortinet dijo que las fallas fueron descubiertas originalmente por dos miembros de su equipo de seguridad de productos.
Los defectos, rastreados como CVE-2025-59718 y CVE-2025-59719permite que un atacante omita la autenticación SSO de FortiCloud mediante un mensaje SAML diseñado si la función está habilitada en el dispositivo.
Arctic Wolf detectó originalmente los inicios de sesión maliciosos en las redes que protege a través de su servicio administrado de detección y respuesta, dijo un portavoz a Cybersecurity Dive. Arctic Wolf dijo que originalmente informó a sus propios clientes sobre las vulnerabilidades en un boletín del 10 de diciembre y que desde que se detectaron los inicios de sesión maliciosos, ha observado decenas de intrusiones.
Los investigadores todavía están investigando los incidentes y no saben quién puede estar detrás de la actividad de amenaza. Agregaron que las intrusiones “parecen ser de naturaleza oportunista” y no están dirigidas a empresas específicas.
Los investigadores de Arctic Wolf se comunicaron con Fortinet y proporcionaron detalles técnicos adicionales sobre la actividad de la amenaza. Fortinet no respondió a una solicitud de comentarios.
Defused también ha detectado actividad de amenazas, señalando que se encontraron siete IP diferentes explotando sus honeypots de Fortinet durante el fin de semana
Fortinet dijo que la función FortiCloud SSO no está habilitada en la configuración predeterminada de fábrica pero, cuando un administrador registra el dispositivo desde la interfaz gráfica de usuario, la configuración está habilitada a menos que un administrador desactive un interruptor que dice: «Permitir el inicio de sesión administrativo usando FortiCloud SSO».
Fortinet dijo que los usuarios deberían desactivar temporalmente la función de inicio de sesión de FortiCloud en versiones vulnerables hasta que se apliquen las actualizaciones.
La Agencia de Seguridad de Infraestructura y Ciberseguridad agregó la falla a sus vulnerabilidades explotadas conocidas catalogar.
Arctic Wolf dijo que si los usuarios detectan actividad maliciosa, deberían restablecer las credenciales del firewall. Recomienda que los usuarios también limiten el acceso a la interfaz de administración del firewall a redes internas confiables.