Fortinet ha confirmado oficialmente que está trabajando para tapar completamente una vulnerabilidad de omisión de autenticación SSO de FortiCloud luego de informes de nueva actividad de explotación en firewalls completamente parcheados.
«En las últimas 24 horas, hemos identificado una serie de casos en los que el exploit se produjo en un dispositivo que había sido completamente actualizado a la última versión en el momento del ataque, lo que sugirió una nueva ruta de ataque», dijo el director de seguridad de la información (CISO) de Fortinet, Carl Windsor. dicho en una publicación del jueves.
Básicamente, la actividad consiste en evitar los parches implementados por el proveedor de seguridad de la red para abordar CVE-2025-59718 y CVE-2025-59719lo que podría permitir la omisión no autenticada de la autenticación de inicio de sesión SSO a través de mensajes SAML diseñados si la función FortiCloud SSO está habilitada en los dispositivos afectados. Los problemas fueron abordados originalmente por Fortinet el mes pasado.
Sin embargo, a principios de esta semana, informes surgió de una actividad renovada en la que se registraron inicios de sesión SSO maliciosos en dispositivos FortiGate contra la cuenta de administrador en dispositivos que habían sido parcheados contra las vulnerabilidades gemelas. La actividad es similar a incidentes observado en diciembre, poco después de la divulgación de CVE-2025-59718 y CVE-2025-59719.
La actividad implica la creación de cuentas genéricas para la persistencia, realizar cambios de configuración que otorguen acceso VPN a esas cuentas y la filtración de configuraciones de firewall a diferentes direcciones IP. Se ha observado que el actor de amenazas inicia sesión con cuentas denominadas «cloud-noc@mail.io» y «cloud-init@mail.io».
Como mitigaciones, la empresa insta a las siguientes acciones:
- Restrinja el acceso administrativo del dispositivo de red perimetral a través de Internet aplicando una política de entrada local
- Deshabilite los inicios de sesión de SSO de FortiCloud deshabilitando «admin-forticloud-sso-login»
«Es importante señalar que, si bien, en este momento, sólo se ha observado explotación de FortiCloud SSO, este problema es aplicable a todas las implementaciones de SAML SSO», dijo Fortinet.
Fuente