Fortinet publicó recientemente una actualización de seguridad para corregir una vulnerabilidad crítica que afecta a múltiples productos de su ecosistema, incluyendo FortiOS, FortiManager, FortiAnalyzer y FortiProxy. La falla, identificada como CVE-2026-24858, permite un bypass de autenticación mediante FortiCloud SSO, lo que podría permitir a un atacante acceder a dispositivos de otras cuentas si la funcionalidad está habilitada.
Dado que algunos indicios apuntan a explotación activa en entornos reales, Fortinet recomienda a los administradores aplicar los parches lo antes posible y revisar la configuración de acceso administrativo en los dispositivos afectados.
Detalles de la vulnerabilidad CVE-2026-24858
La vulnerabilidad CVE-2026-24858 está catalogada con una puntuación CVSS de 9.4 (crítica) y corresponde a un Authentication Bypass Using an Alternate Path or Channel (CWE-288).
El problema radica en el mecanismo de autenticación cuando se utiliza FortiCloud Single Sign-On (SSO). Un atacante que posea una cuenta de FortiCloud y un dispositivo registrado podría autenticarse en otros dispositivos pertenecientes a diferentes cuentas si estos tienen habilitado el acceso administrativo mediante FortiCloud SSO.
En un escenario de explotación, esto podría permitir:
-
Acceso administrativo no autorizado a dispositivos de red.
-
Creación de cuentas administrativas persistentes.
-
Cambios en la configuración del firewall.
-
Exfiltración de configuraciones y datos de red.
Incluso se detectaron cuentas maliciosas utilizadas para explotar el problema, las cuales fueron posteriormente bloqueadas por Fortinet.
Productos afectados
La vulnerabilidad impacta múltiples componentes del ecosistema Fortinet, especialmente aquellos que utilizan FortiOS como sistema operativo base.
Productos afectados
-
FortiOS
-
FortiManager
-
FortiAnalyzer
-
FortiProxy
Versiones vulnerables (ejemplo)
|
Producto |
Versiones afectadas |
|---|---|
|
FortiOS |
7.6.0 – 7.6.5 |
|
FortiOS |
7.4.0 – 7.4.10 |
|
FortiOS |
7.2.0 – 7.2.12 |
|
FortiOS |
7.0.0 – 7.0.18 |
|
FortiManager |
7.6.x, 7.4.x, 7.2.x, 7.0.x |
|
FortiAnalyzer |
7.6.x, 7.4.x, 7.2.x, 7.0.x |
|
FortiProxy |
múltiples versiones 7.x |
Las versiones específicas con correcciones están siendo distribuidas por Fortinet mediante sus actualizaciones de seguridad.
Cuándo puede explotarse la vulnerabilidad
Un aspecto importante es que FortiCloud SSO no está habilitado por defecto en configuraciones de fábrica.
Sin embargo, la funcionalidad puede activarse automáticamente cuando:
-
El dispositivo se registra en FortiCare desde la interfaz gráfica.
-
Se habilita manualmente el acceso administrativo mediante FortiCloud SSO.
En estas condiciones, el dispositivo podría quedar expuesto al bypass de autenticación si ejecuta versiones vulnerables.
Recomendaciones de mitigación para administradores
Fortinet recomienda aplicar medidas inmediatas para reducir el riesgo hasta que todos los sistemas estén completamente actualizados.
1. Actualizar a versiones seguras
Actualizar a las versiones corregidas indicadas por Fortinet mediante el Fortinet Upgrade Path Tool.
Ejemplo de versiones recomendadas:
-
FortiOS 7.6.4 o superior
-
FortiOS 7.4.9 o superior
-
FortiOS 7.2.12 o superior
-
FortiOS 7.0.18 o superior
2. Revisar configuraciones de SSO
Verificar si está habilitada la opción:
Allow administrative login using FortiCloud SSO
Si no es necesaria, se recomienda deshabilitarla.
3. Auditoría de seguridad
En caso de sospecha de compromiso:
-
Revisar logs de autenticación administrativa.
-
Verificar la existencia de cuentas administrativas desconocidas.
-
Validar cambios en configuraciones de firewall o VPN.
-
Rotar credenciales administrativas y de integración con LDAP/AD.
4. Restaurar configuraciones seguras
Si se detecta actividad sospechosa:
-
Restaurar configuración desde un backup confiable.
-
Revalidar políticas y reglas de firewall.
Impacto para entornos empresariales
Los dispositivos Fortinet son ampliamente utilizados como firewalls perimetrales, gateways VPN y plataformas de seguridad de red, por lo que vulnerabilidades en FortiOS pueden tener un impacto significativo en infraestructuras corporativas.
Un atacante que obtenga acceso administrativo podría:
-
Modificar reglas de firewall.
-
Crear túneles VPN persistentes.
-
Acceder a la topología de red interna.
-
Preparar ataques posteriores contra la infraestructura.
Por esta razón, vulnerabilidades de autenticación en estos dispositivos suelen considerarse de máxima prioridad para parcheo en entornos empresariales.
Conclusión
La vulnerabilidad CVE-2026-24858 en Fortinet demuestra nuevamente que los dispositivos de seguridad también deben mantenerse bajo estrictos procesos de gestión de parches y hardening.
Si bien el vector de ataque requiere que FortiCloud SSO esté habilitado, el riesgo sigue siendo elevado en infraestructuras corporativas que utilizan este mecanismo de autenticación.
La recomendación para administradores y equipos de seguridad es clara:
actualizar inmediatamente los dispositivos Fortinet afectados, revisar configuraciones de acceso administrativo y auditar posibles indicadores de compromiso.
