Los actores de amenazas han comenzado a explotar dos fallas de seguridad recientemente reveladas en los dispositivos Fortinet FortiGate, menos de una semana después de la divulgación pública.
La empresa de ciberseguridad Arctic Wolf dijo que observó intrusiones activas que involucraban inicios de sesión maliciosos de inicio de sesión único (SSO) en dispositivos FortiGate el 12 de diciembre de 2025. Los ataques explotan dos omisiones de autenticación críticas (CVE-2025-59718 y CVE-2025-59719, puntuaciones CVSS: 9,8). Fortinet lanzó parches para las fallas la semana pasada para FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.
«Estas vulnerabilidades permiten eludir sin autenticación la autenticación de inicio de sesión SSO a través de mensajes SAML diseñados, si la función FortiCloud SSO está habilitada en los dispositivos afectados», Arctic Wolf Labs dicho en un nuevo boletín.
Vale la pena señalar que, si bien FortiCloud SSO está deshabilitado de forma predeterminada, se habilita automáticamente durante el registro de FortiCare a menos que los administradores lo desactiven explícitamente usando la configuración «Permitir inicio de sesión administrativo usando FortiCloud SSO» en la página de registro.
En la actividad maliciosa observada por Arctic Wolf, se utilizaron direcciones IP asociadas con un conjunto limitado de proveedores de alojamiento, como The Constant Company llc, Bl Networks y Kaopu Cloud Hk Limited, para realizar inicios de sesión SSO maliciosos en la cuenta «admin».
Después de los inicios de sesión, se descubrió que los atacantes exportaban configuraciones de dispositivos a través de la GUI a las mismas direcciones IP.
A la luz de la actividad de explotación en curso, se recomienda a las organizaciones que apliquen los parches lo antes posible. Como mitigación, es esencial deshabilitar FortiCloud SSO hasta que las instancias se actualicen a la última versión y limitar el acceso a las interfaces de administración de firewalls y VPN a usuarios internos confiables.
«Aunque las credenciales generalmente se procesan en configuraciones de dispositivos de red, se sabe que los actores de amenazas descifran hashes fuera de línea, especialmente si las credenciales son débiles y susceptibles a ataques de diccionario», dijo Arctic Wolf.
Se recomienda a los clientes de Fortinet que encuentren indicadores de compromiso (IoC) consistentes con la campaña que asuman el compromiso y restablezcan las credenciales de firewall hash almacenadas en las configuraciones exfiltradas.
Fuente