Fortinet ha confirmado oficialmente que está trabajando para tapar completamente una vulnerabilidad de omisión de autenticación SSO de FortiCloud luego de informes de nueva actividad de explotación en firewalls completamente parcheados.
“En las últimas 24 horas, hemos identificado una serie de casos en los que el exploit se produjo en un dispositivo que había sido completamente actualizado a la última lectura en el momento del ataque, lo que sugirió una nueva ruta de ataque”, dijo el director de seguridad de la información (CISO) de Fortinet, Carl Windsor, en una publicación del jueves.
Básicamente, la actividad se zócalo en una omisión de los parches implementados por el proveedor de seguridad de red para asaltar CVE-2025-59718 y CVE-2025-59719, lo que podría permitir la omisión no autenticada de la autenticación de inicio de sesión SSO a través de mensajes SAML diseñados si la función FortiCloud SSO está habilitada en los dispositivos afectados. Los problemas fueron abordados originalmente por Fortinet el mes pasado.
Sin secuestro, a principios de esta semana, surgieron informes de una actividad renovada en la que se registraron inicios de sesión SSO maliciosos en dispositivos FortiGate contra la cuenta de administrador en dispositivos que habían sido parcheados contra las vulnerabilidades gemelas. La actividad es similar a los incidentes observados en diciembre, poco luego de la divulgación de CVE-2025-59718 y CVE-2025-59719.
La actividad implica la creación de cuentas genéricas para la persistencia, realizar cambios de configuración que otorguen camino VPN a esas cuentas y la filtración de configuraciones de firewall a diferentes direcciones IP. Se ha observado que el actor de amenazas inicia sesión con cuentas denominadas “cloud-noc@mail.io” y “cloud-init@mail.io”.
Como mitigaciones, la empresa insta a las siguientes acciones:
- Restrinja el camino chupatintas del dispositivo de red perimetral a través de Internet aplicando una política de entrada tópico
- Deshabilite los inicios de sesión de SSO de FortiCloud deshabilitando “admin-forticloud-sso-login”
“Es importante señalar que, si proporcionadamente, en este momento, sólo se ha observado explotación de FortiCloud SSO, este problema es aplicable a todas las implementaciones de SAML SSO”, dijo Fortinet.
