La firma de ciberseguridad Arctic Wolf advirtió sobre un «nuevo grupo de actividad maliciosa automatizada» que involucra cambios no autorizados en la configuración del firewall en los dispositivos Fortinet FortiGate.
El grupo dijo que la campaña comenzó el 15 de enero de 2026, y agregó que tiene similitudes con una campaña de diciembre de 2025 en la que se registraron inicios de sesión SSO maliciosos en dispositivos FortiGate en cuentas de administrador de varios proveedores de alojamiento, explotando CVE-2025-59718 y CVE-2025-59719.
Ambas vulnerabilidades podrían permitir la omisión no autenticada de la autenticación de inicio de sesión SSO a través de un mensaje SAML diseñado si la función FortiCloud Single Sign-On (SSO) está habilitada en un dispositivo afectado. Esta deficiencia afecta a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.
«Esta actividad incluyó la creación de cuentas de propósito general para la persistencia, realizar cambios de configuración para permitir el acceso VPN a esas cuentas y comprometer las configuraciones del firewall», dijo Arctic Wolf sobre el grupo de amenazas en desarrollo.
Específicamente, esto implica realizar un inicio de sesión SSO malicioso en la cuenta maliciosa «cloud-init@mail.io» desde cuatro direcciones IP diferentes y luego exportar un archivo de configuración de firewall a la misma dirección IP a través de la interfaz GUI. La lista de direcciones IP de origen es la siguiente:
104.28.244(.)115 104.28.212(.)114 217.119.139(.)50 37.1.209(.)19
Además, se ha observado que los atacantes crean cuentas secundarias como ‘secadmin’, ‘itadmin’, ‘support’, ‘backup’, ‘remoteadmin’ y ‘audit’ para lograr persistencia.
«Todos los eventos anteriores ocurrieron con unos segundos de diferencia entre sí, lo que indica la posibilidad de actividad automatizada», agregó Arctic Wolf.
Esta divulgación coincide con una publicación en Reddit donde varios usuarios informaron haber visto inicios de sesión SSO maliciosos en dispositivos FortiOS completamente parcheados, y un usuario afirmó: «El equipo de desarrollo de Fortinet ha confirmado que la vulnerabilidad persiste o no está solucionada en la versión 7.4.10».
Hacker News se comunicó con Fortinet para hacer comentarios y actualizará el artículo si recibimos una respuesta. Por el momento, recomendamos desactivar la configuración «admin-forticloud-sso-login».
Source link
