Fortinet ha emitido un aviso de seguridad urgente sobre una vulnerabilidad crítica que afecta a varias líneas de productos de su ecosistema, incluyendo FortiOS, FortiWeb, FortiProxy y FortiSwitchManager. La falla, catalogada como de alta gravedad, podría permitir a atacantes no autenticados eludir por completo el sistema de inicio de sesión único (SSO) de FortiCloud.
🔓 ¿En Qué Consiste la Vulnerabilidad?
La vulnerabilidad, identificada técnicamente como «Improper Verification of Cryptographic Signature» (CWE-347), se encuentra en el proceso de autenticación mediante SAML (Security Assertion Markup Language) que utiliza FortiCloud SSO.
El problema radica en que los dispositivos afectados no verifican correctamente las firmas criptográficas dentro de los mensajes SAML. Esto permitiría a un atacante remoto crear un mensaje SAML específicamente manipulado para autenticarse como administrador en el dispositivo sin necesidad de credenciales válidas, obteniendo así acceso administrativo no autorizado.
La falla fue descubierta internamente por investigadores del equipo de seguridad de productos de Fortinet y se hizo pública el 9 de diciembre de 2025.
⚡ ¿Qué la Hace Particularmente Peligrosa?
Aunque la función de FortiCloud SSO no está habilitada por defecto en una configuración inicial, existe un escenario común que activa la vulnerabilidad:
-
Cuando un administrador registra un dispositivo en FortiCare a través de la interfaz gráfica (GUI), la opción «Permitir inicio de sesión administrativo usando FortiCloud SSO» se activa automáticamente (por defecto).
-
Si el administrador no desactiva manualmente esta opción durante el registro, el dispositivo queda inmediatamente expuesto a la vulnerabilidad.
Este comportamiento por defecto aumenta significativamente el riesgo de exposición en entornos desplegados, especialmente si el proceso de registro no se revisa con detenimiento.
🛡️ Productos y Versiones Afectados
La vulnerabilidad impacta múltiples líneas de productos y versiones específicas:
| Producto | Versiones Afectadas | Versión Corregida |
|---|---|---|
| FortiOS 7.6 | 7.6.0 a 7.6.3 | Actualizar a 7.6.4 o superior |
| FortiOS 7.4 | 7.4.0 a 7.4.8 | Actualizar a 7.4.9 o superior |
| FortiOS 7.2 | 7.2.0 a 7.2.11 | Actualizar a 7.2.12 o superior |
| FortiOS 7.0 | 7.0.0 a 7.0.17 | Actualizar a 7.0.18 o superior |
| FortiProxy 7.6 | 7.6.0 a 7.6.3 | Actualizar a 7.6.4 o superior |
| FortiProxy 7.4 | 7.4.0 a 7.4.10 | Actualizar a 7.4.11 o superior |
| FortiWeb 8.0 | 8.0.0 | Actualizar a 8.0.1 o superior |
| FortiWeb 7.6 | 7.6.0 a 7.6.4 | Actualizar a 7.6.5 o superior |
| FortiSwitchManager 7.2 | 7.2.0 a 7.2.6 | Actualizar a 7.2.7 o superior |
Nota: FortiOS 6.4 y versiones anteriores no se ven afectadas.
🚨 Mitigación y Acciones Recomendadas
Fortinet recomienda encarecidamente aplicar los parches lo antes posible. Sin embargo, para organizaciones que no puedan actualizar de inmediato, existe una medida de mitigación temporal:
-
Parcheo (Recomendado): Actualizar los dispositivos afectados a las versiones corregidas indicadas en la tabla anterior. Este es el único método para resolver la vulnerabilidad de forma permanente.
-
Workaround Temporal: Deshabilitar la función de inicio de sesión FortiCloud SSO en todos los dispositivos afectados. Esto mitiga el riesgo al eliminar el vector de ataque, pero también desactiva la comodidad del SSO.
-
Se debe revisar específicamente la configuración de cualquier dispositivo que haya sido registrado en FortiCare a través de la GUI.
-
💎 Conclusión
Esta vulnerabilidad subraya la importancia crítica de mantener los firmwares de dispositivos de red y seguridad actualizados, especialmente en productos que gestionan la autenticación. También es un recordatorio de revisar las configuraciones por defecto durante el despliegue de cualquier solución.
Administradores de sistemas y profesionales de ciberseguridad que utilicen productos Fortinet deben priorizar la aplicación de estos parches o implementar el workaround de inmediato para proteger sus redes de un posible acceso administrativo no autorizado.
Para más detalles técnicos y el aviso oficial, consulta el Security Advisory de Fortinet.
