Fortinet ha comenzado a publicar actualizaciones de seguridad para abordar fallas críticas que afectan a FortiOS y que están siendo explotadas en la naturaleza.
La vulnerabilidad, al que se le asignó el identificador CVE CVE-2026-24858 (puntuación CVSS: 9,4), se describe como una omisión de autenticación relacionada con el inicio de sesión único (SSO) de FortiOS. Esta falla también afecta a FortiManager y FortiAnalyzer. La compañía dijo que continúa investigando si otros productos, como FortiWeb y FortiSwitch Manager, se ven afectados por esta falla.
«La vulnerabilidad de ruta alternativa o desvío de autenticación de canal (CWE-288) en FortiOS, FortiManager y FortiAnalyzer podría permitir a un atacante con una cuenta de FortiCloud y un dispositivo registrado iniciar sesión en otros dispositivos registrados en otras cuentas cuando la autenticación SSO de FortiCloud está habilitada», dijo Fortinet en un aviso publicado el martes.
Tenga en cuenta que la función de inicio de sesión SSO de FortiCloud no está habilitada en la configuración predeterminada de fábrica. Esto solo se activa en escenarios donde un administrador inscribe el dispositivo con FortiCare desde la GUI del dispositivo, a menos que se tomen medidas para alternar explícitamente el interruptor «Permitir inicio de sesión administrativo usando FortiCloud SSO».
Este desarrollo se produce días después de que Fortinet confirmara que atacantes no identificados estaban explotando una «nueva ruta de ataque» para lograr inicios de sesión SSO sin requerir autenticación. Este acceso fue aprovechado para crear cuentas de administrador local para la persistencia, realizar cambios de configuración para permitir el acceso VPN de esas cuentas y comprometer las configuraciones del firewall.
El proveedor de seguridad de red anunció que tomó las siguientes acciones durante la semana pasada.
Se bloquearon dos cuentas maliciosas de FortiCloud (cloud-noc@mail.io y cloud-init@mail.io) el 22 de enero de 2026. El SSO de FortiCloud se deshabilitó en el lado de FortiCloud el 26 de enero de 2026. El SSO de FortiCloud se volvió a habilitar el 27 de enero de 2026, pero se deshabilitó la opción de iniciar sesión desde un dispositivo que ejecuta una versión vulnerable.
Esto significa que para que funcione la autenticación SSO de FortiCloud, los clientes deben actualizar a la última versión del software. Fortinet también insta a los usuarios que detecten indicadores de compromiso a tratar sus dispositivos como comprometidos y recomienda las siguientes acciones:
Asegúrese de que su dispositivo esté ejecutando la última versión del firmware. Restaure la configuración a una versión limpia conocida o auditela para detectar cambios no autorizados. Rote las credenciales, incluidas las cuentas LDAP/AD, que puedan estar conectadas a dispositivos FortiGate.
Debido a este desarrollo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2026-24858 a su Catálogo de vulnerabilidades explotadas conocidas (KEV) y requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) solucionen el problema antes del 30 de enero de 2026.
Source link
