Advertencia para equipos de seguridad y redes: Las vulnerabilidades críticas de autenticación SSO en dispositivos Fortinet, divulgadas hace una semana, ya están siendo explotadas activamente en la naturaleza. Los atacantes están utilizando estas fallas para obtener acceso administrativo completo a firewalls FortiGate y otros productos de la suite Fortinet, sin necesidad de credenciales válidas.
🚨 El Ataque en Tiempo Real: Cómo Ocurre
La firma de seguridad Arctic Wolf ha documentado y está detectando intrusiones en curso que aprovechan CVE-2025-59718 y CVE-2025-59719. El vector de ataque es claro y peligroso:
-
Detección de Dispositivos Expuestos: Los atacantes escanean internet buscando dispositivos Fortinet con la interfaz de gestión expuesta y la función FortiCloud SSO habilitada.
-
Bypass de Autenticación SSO: Mediante mensajes SAML maliciosamente manipulados, los atacantes engañan al dispositivo para que les conceda una sesión de inicio de sesión SSO exitosa sin autenticación real.
-
Acceso como «admin»: El ataque apunta específicamente a la cuenta administrativa por defecto (
user="admin"), obteniendo privilegios totales sobre el dispositivo.
📍 IOCs (Indicadores de Compromiso) Confirmados
Arctic Wolf ha identificado una serie de direcciones IP de origen utilizadas en estos ataques, principalmente asociadas a proveedores de hosting como The Constant Company LLC y Kaopu Cloud HK Limited. Si ves tráfico de estas IPs hacia tus interfaces de gestión Fortinet, es una señal de ataque inminente o en curso:
45.32.153[.]218 (The Constant Company LLC) 167.179.76[.]111 (The Constant Company LLC) 199.247.7[.]82 (The Constant Company LLC) 45.61.136[.]7 (Bl Networks) 38.54.88[.]203 (Kaopu Cloud HK Limited) 38.54.95[.]226 (Kaopu Cloud HK Limited) 38.60.212[.]97 (Kaopu Cloud HK Limited)
🔍 Evidencias Forenses en los Logs
Los registros de un dispositivo comprometido muestran el patrón claro del ataque:
-
Login Exitoso desde IP Maliciosa:
user="admin" ui="sso(199.247.7[.]82)" ... srcip=199.247.7[.]82 ... action="login" status="success"
-
Descarga de Configuración (Exfiltración): Minutos después del acceso no autorizado, los atacantes suelen descargar la configuración completa del dispositivo:
... action="download" ... msg="System config file has been downloaded by user admin via GUI(199.247.7[.]82)"
⚠️ Advertencia Crítica: Si los atacantes descargan la configuración, obtienen todos los hashes de contraseñas del sistema. Aunque estén hasheadas, contraseñas débiles pueden ser rotas con ataques offline de diccionario o fuerza bruta, comprometiendo credenciales incluso después de parchear.
🛡️ Plan de Acción Inmediato (Checklist para Administradores)
Si gestionas dispositivos FortiOS, FortiProxy, FortiWeb o FortiSwitchManager, debes actuar YA:
-
✅ PRIORIDAD MÁXIMA: Aplicar Parches
Actualiza a las versiones corregidas según la tabla oficial (ver artículo anterior o el PSIRT de Fortinet). Esta es la única mitigación permanente. -
✅ Revisar Logs Urgentemente
Busca en los logs de autenticación (logid="0100032001") y descarga (logid="0100032095") eventos desde las IPs de los IOCs o cualquier acceso SSO exitoso desde IPs externas no autorizadas. -
✅ Si hay Evidencia de Compromiso:
-
Rotar TODAS las credenciales (usuarios locales, claves API, certificados) inmediatamente.
-
Asumir que la configuración descargada está comprometida. Reevaluar reglas de firewall, políticas VPN y configuraciones de red.
-
Considerar una restauración desde un backup limpio y conocido previo al ataque, tras aplicar el parche.
-
-
✅ Mitigación Temporal (Si no puedes parchar AHORA):
-
-
Vía GUI:
System > Settings→ Desactivar"Allow administrative login using FortiCloud SSO". -
Vía CLI:
DESHABILITAR FortiCloud SSO inmediatamente.
config system global set admin-forticloud-sso-login disable end
-
-
-
✅ Mejorar Postura de Seguridad a Largo Plazo:
-
NUNCA expongas las interfaces de gestión (HTTP/HTTPS/SSH) a internet. Restríngelas a redes de gestión internas y utiliza VPN para acceso remoto.
-
Deshabilita o renombra la cuenta
adminpor defecto. Utiliza cuentas con privilegios mínimos. -
Implementa autenticación multifactor (MFA) para todos los accesos administrativos.
-
📊 Productos Afectados y Versiones Corregidas (Resumen)
| Producto | Versiones Afectadas | Versión Corregida |
|---|---|---|
| FortiOS 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiOS 7.4 | 7.4.0 – 7.4.8 | 7.4.9+ |
| FortiOS 7.2 | 7.2.0 – 7.2.11 | 7.2.12+ |
| FortiOS 7.0 | 7.0.0 – 7.0.17 | 7.0.18+ |
| FortiProxy 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiWeb 8.0 | 8.0.0 | 8.0.1+ |
| FortiWeb 7.6 | 7.6.0 – 7.6.4 | 7.6.5+ |
(Consulta el advisory de Fortinet para la lista completa)
Productos NO afectados: FortiOS 6.4, FortiWeb 7.0, FortiWeb 7.2.
💎 Conclusión: Un Recordatorio Severo de Seguridad Básica
Esta explotación activa es un recordatorio brutal de tres principios fundamentales:
-
La criticidad del patch management: Un parche crítico publicado tiene una ventana de explotación de horas, no días.
-
Los peligros de la exposición innecesaria: Las interfaces de gestión deben estar aisladas.
-
La importancia de revisar configuraciones por defecto: Una opción que se activa sola (
admin-forticloud-sso-login) durante un proceso rutinario (registro en FortiCare) se ha convertido en la puerta de entrada para los atacantes.
No esperes. Verifica, parchea y protege tus dispositivos ahora mismo.
¿Has detectado actividad sospechosa en tus dispositivos Fortinet? ¿Tu equipo ya aplicó los parches? Comparte tu experiencia o preguntas en los comentarios para ayudar a la comunidad a fortalecer sus defensas.
