Fortinet ha comenzado a difundir actualizaciones de seguridad para invadir una descompostura crítica que afecta a FortiOS y que ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, asignada al identificador CVE. CVE-2026-24858 (Puntuación CVSS: 9,4), se ha descrito como una omisión de autenticación relacionada con el inicio de sesión único (SSO) de FortiOS. La descompostura todavía afecta a FortiManager y FortiAnalyzer. La compañía dijo que continúa investigando si otros productos, incluidos FortiWeb y FortiSwitch Manager, se ven afectados por la descompostura.
“Una vulnerabilidad de omisión de autenticación mediante una ruta o canal periódico (CWE-288) en FortiOS, FortiManager, FortiAnalyzer puede permitir que un atacante con una cuenta de FortiCloud y un dispositivo registrado inicie sesión en otros dispositivos registrados en otras cuentas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos”, dijo Fortinet en un aviso publicado el martes.
Vale la pena señalar que la función de inicio de sesión SSO de FortiCloud no está habilitada en la configuración predeterminada de industria. Solo se activa en escenarios en los que un administrador registra el dispositivo en FortiCare desde la GUI del dispositivo, a menos que haya tomado medidas para codearse explícitamente el interruptor “Permitir inicio de sesión oficinista usando FortiCloud SSO”.
El mejora se produce días a posteriori de que Fortinet confirmara que actores de amenazas no identificados estaban abusando de una “nueva ruta de ataque” para conseguir inicios de sesión SSO sin requerir ninguna autenticación. Se abusó del comunicación para crear cuentas de administrador regional para la persistencia, realizar cambios de configuración que otorgan comunicación VPN a esas cuentas y filtrar esas configuraciones de firewall.
Durante la semana pasada, el proveedor de seguridad de red dijo que ha tomado las siguientes medidas:
- Se bloquearon dos cuentas maliciosas de FortiCloud (cloud-noc@mail.io y cloud-init@mail.io) el 22 de enero de 2026.
- Se deshabilitó el SSO de FortiCloud en el flanco de FortiCloud el 26 de enero de 2026.
- Se volvió a habilitar FortiCloud SSO el 27 de enero de 2026, mientras se deshabilitaba la opción de iniciar sesión desde dispositivos que ejecutan versiones vulnerables.
En otras palabras, los clientes deben modernizar a las últimas versiones del software para que funcione la autenticación SSO de FortiCloud. Fortinet todavía insta a los usuarios que detecten signos de compromiso a que traten sus dispositivos como si estuvieran vulnerados y recomienda las siguientes acciones:
- Asegúrese de que el dispositivo esté ejecutando la última interpretación del firmware
- Restaurar la configuración con una interpretación limpia conocida o auditar cualquier cambio no competente
- Rotar las credenciales, incluidas las cuentas LDAP/AD que puedan estar conectadas a los dispositivos FortiGate
El mejora ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a asociar CVE-2026-24858 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), ordenando a las agencias del Poder Ejecutor Civil Federal (FCEB) que remedien los problemas antaño del 30 de enero de 2026.
