Fortinet ha confirmado oficialmente que está trabajando para resolver completamente la vulnerabilidad de omisión de autenticación SSO de FortiCloud luego de informes de nueva actividad de explotación en firewalls completamente parcheados.
«Durante las últimas 24 horas, hemos identificado una serie de casos en los que los dispositivos se actualizaron completamente a la última versión en el momento del ataque, lo que sugiere un nuevo vector de ataque», dijo Carl Windsor, director de seguridad de la información de Fortinet, en una publicación el jueves.
Básicamente, esta actividad evita los parches introducidos por los proveedores de seguridad de red para abordar CVE-2025-59718 y CVE-2025-59719. Esto podría permitir la omisión no autenticada de la autenticación de inicio de sesión SSO a través de un mensaje SAML diseñado si la función FortiCloud SSO está habilitada en el dispositivo afectado. Este problema fue resuelto originalmente por Fortinet el mes pasado.
Sin embargo, a principios de esta semana, surgieron informes de una nueva actividad en la que inicios de sesión SSO maliciosos en dispositivos FortiGate se registraron en cuentas de administrador en dispositivos que habían sido parcheados para estas dos vulnerabilidades. Esta actividad es similar a los incidentes observados en diciembre, poco después de la publicación de CVE-2025-59718 y CVE-2025-59719.
Esta actividad incluye la creación de cuentas de uso general para la persistencia, la realización de cambios de configuración para permitir el acceso VPN a esas cuentas y la filtración de configuraciones de firewall a diferentes direcciones IP. Se ha observado que el atacante inicia sesión con cuentas denominadas ‘cloud-noc@mail.io’ y ‘cloud-init@mail.io’.
Como medida de mitigación, la empresa le solicita que tome las siguientes medidas:
Aplique políticas de entrada local para restringir el acceso de administración a los dispositivos de red perimetrales a través de Internet. Deshabilite el inicio de sesión SSO de FortiCloud deshabilitando ‘admin-forticloud-sso-login’.
«Es importante señalar que, si bien en este momento sólo hemos visto abuso de SSO de FortiCloud, este problema se aplica a todas las implementaciones de SSO de SAML», dijo Fortinet.
Source link
