Los actores de amenazas comenzaron a explotar dos fallas de seguridad recientemente reveladas en los dispositivos Fortinet FortiGate menos de una semana después de que se hicieran públicas.
La empresa de ciberseguridad Arctic Wolf anunció que observó una intrusión activa que involucraba un inicio de sesión único (SSO) malicioso en un dispositivo FortiGate el 12 de diciembre de 2025. El ataque aprovechó dos omisiones de autenticación críticas (CVE-2025-59718 y CVE-2025-59719, puntuación CVSS: 9,8). Fortinet lanzó un parche para esta falla la semana pasada para FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.
«Estas vulnerabilidades podrían permitir la omisión no autenticada de la autenticación de inicio de sesión SSO a través de un mensaje SAML diseñado si la funcionalidad SSO de FortiCloud está habilitada en un dispositivo afectado», dijo Arctic Wolf Labs en un nuevo boletín de seguridad.
Tenga en cuenta que FortiCloud SSO está deshabilitado de forma predeterminada, pero se habilita automáticamente durante la inscripción a FortiCare a menos que un administrador lo desactive explícitamente usando la configuración (Permitir inicio de sesión administrativo usando FortiCloud SSO) en la página de inscripción.
En la actividad maliciosa observada por Arctic Wolf, se utilizaron direcciones IP asociadas con un número limitado de proveedores de alojamiento, incluidos The Constant Company llc, Bl Networks y Kaopu Cloud Hk Limited, para realizar inicios de sesión SSO maliciosos en cuentas de «administrador».
Después de iniciar sesión, se descubrió que el atacante exportaba la configuración del dispositivo a la misma dirección IP a través de la GUI.
Dada la actividad de explotación en curso, se recomienda a las organizaciones que apliquen el parche lo antes posible. Como mitigación, es importante deshabilitar FortiCloud SSO hasta que la instancia se actualice a la última versión y restringir el acceso al firewall y a las interfaces de administración de VPN a usuarios internos confiables.
«Por lo general, las credenciales se codifican en la configuración del dispositivo de red, pero se sabe que los atacantes descifran los hashes fuera de línea, especialmente cuando las credenciales son débiles y susceptibles a ataques de diccionario», dijo Arctic Wolf.
Se anima a los clientes de Fortinet que encuentren indicadores de compromiso (IoC) que coincidan con una campaña a asumir un compromiso y restablecer las credenciales de firewall hash almacenadas en la configuración extraída.
Source link
