Desde mediados de enero, una nueva ola de ataques automatizados a firewalls Fortinet FortiGate está comprometiendo dispositivos en cuestión de segundos. De acuerdo con análisis de Arctic Wolf, los atacantes abusan de una vulnerabilidad crítica en el mecanismo FortiCloud SSO, obtienen acceso administrativo, crean cuentas con privilegios elevados y extraen la configuración completa de los equipos, exponiendo información sensible de las redes corporativas.
Ataques masivos a FortiGate: alcance y contexto de la campaña
La fase más activa de esta campaña habría comenzado el 15 de enero de 2026, centrada en dispositivos Fortinet FortiGate expuestos a Internet con Single Sign-On (SSO) integrado con FortiCloud. El SSO permite autenticarse en varios servicios con una sola cuenta, lo que facilita la administración, pero también amplifica el impacto de cualquier fallo en ese punto central de autenticación.
En este escenario, los atacantes despliegan herramientas de escaneo y explotación completamente automatizadas, capaces de localizar dispositivos vulnerables, aprovechar el fallo y consolidar el acceso en pocos segundos, sin necesidad de interacción humana directa. Este nivel de automatización aumenta drásticamente la escala y velocidad de los incidentes.
Cómo funciona la explotación de la vulnerabilidad CVE-2025-59718 en FortiCloud SSO
El vector principal es la vulnerabilidad CVE-2025-59718, descrita como un salto de autenticación en la implementación de SSO basada en SAML (Security Assertion Markup Language). SAML es un estándar ampliamente utilizado para intercambiar datos de autenticación entre un proveedor de identidad y un servicio, como un firewall o una consola de gestión.
Según los datos disponibles, FortiGate procesa de forma incorrecta determinados mensajes SAML especialmente construidos. Esta debilidad permitiría a un atacante no autenticado obtener una sesión válida si el FortiCloud SSO está habilitado en el dispositivo. Una vez que el acceso inicial se consigue, la cadena de ataque observada suele incluir:
– Creación inmediata de nuevas cuentas administrativas con acceso VPN;
– Modificación de parámetros de VPN y políticas de firewall para facilitar futuros accesos encubiertos;
– Descarga de la configuración completa del dispositivo FortiGate.
Estos ficheros de configuración suelen contener credenciales en claro o con cifrado reversible, topologías de red interna, detalles de túneles VPN y reglas de acceso. En la práctica, proporcionan a los atacantes un “mapa” detallado de la infraestructura, que puede utilizarse para movimientos laterales, escalado de privilegios y ataques posteriores de ransomware o exfiltración de datos.
FortiOS 7.4.9 y 7.4.10: limitaciones de los parches y riesgo residual
Los primeros incidentes similares se registraron en diciembre de 2025, tras la divulgación pública de las vulnerabilidades CVE-2025-59718 y CVE-2025-59719. Fortinet publicó parches en FortiOS 7.4.9, afirmando que el problema quedaba resuelto.
No obstante, la nueva oleada de ataques indica que la explotación sigue siendo viable. Administradores de organizaciones afectadas reportan compromisos en dispositivos ya actualizados a FortiOS 7.4.10, la versión más reciente disponible en el momento de los incidentes. En foros especializados, algunos responsables de seguridad señalan supuestas admisiones informales de que la corrección en 7.4.10 no sería completa, mientras que oficialmente el fabricante mantiene que la vulnerabilidad está cerrada desde 7.4.9.
Ante la continuidad de la campaña, se espera un lanzamiento de emergencia de nuevas versiones como FortiOS 7.4.11, 7.6.6 y 8.0.0, destinadas a mitigar de forma definitiva la explotación de CVE-2025-59718. Hasta que estos parches estén ampliamente desplegados, el nivel de riesgo para las organizaciones que dependen de FortiGate permanece elevado.
Indicadores de compromiso e infraestructura FortiGate expuesta
Los registros de eventos de dispositivos comprometidos muestran un patrón recurrente. En la mayoría de los casos se observan:
– Intentos de inicio de sesión SSO asociados al correo cloud-init@mail[.]io;
– Conexiones procedentes de la dirección IP 104.28.244[.]114;
– Creación inmediata de un nuevo usuario administrador tras el acceso inicial.
Estos indicadores de compromiso (IoC) coinciden con los hallazgos de Arctic Wolf tanto en la campaña actual como en los incidentes de diciembre de 2025, lo que sugiere que una misma operación o grupos estrechamente coordinados estarían detrás de la actividad.
Datos del proyecto Shadowserver señalan que actualmente existen casi 11 000 dispositivos FortiGate accesibles públicamente con FortiCloud SSO activado. Dado que la vulnerabilidad puede explotarse sin credenciales previas y está totalmente automatizada, todos ellos son objetivos potenciales.
Medidas inmediatas y estrategia de gestión de vulnerabilidades en FortiGate
Acciones urgentes para administradores de Fortinet FortiGate
Hasta que los parches definitivos estén disponibles e implementados, se recomiendan las siguientes medidas de contención y detección temprana:
– Deshabilitar temporalmente FortiCloud SSO en todos los dispositivos donde esté activo, especialmente si son accesibles desde Internet;
– Revisar los logs de autenticación en busca de accesos SSO asociados a cloud-init@mail[.]io y tráfico desde la IP 104.28.244[.]114;
– Realizar un inventario y auditoría de todas las cuentas administrativas en FortiGate y eliminar cualquier usuario desconocido o sospechoso;
– Ante cualquier indicio de compromiso, rotar credenciales, regenerar claves VPN y certificados, y revisar minuciosamente la configuración en busca de cambios no autorizados.
Hacia un enfoque maduro de gestión de parches y exposición
El caso de CVE-2025-59718 ilustra la necesidad de contar con procesos ágiles de gestión de vulnerabilidades y una visión clara de la superficie de exposición. El riesgo se incrementa cuando:
– Las actualizaciones se aplican con retraso o sin verificar su efectividad;
– No existe monitorización continua de logs y tráfico sospechoso en servicios críticos como VPN o SSO;
– Falta una inventariación actualizada de servicios publicados en Internet, incluidos paneles de administración y mecanismos de SSO.
Las buenas prácticas recomiendan complementar los parches con herramientas de monitorización y correlación de eventos (SIEM), aplicar autenticación multifactor (MFA) siempre que sea posible, y realizar pruebas de intrusión y auditorías periódicas de la configuración de firewalls y dispositivos perimetrales.
Los ataques actuales contra Fortinet FortiGate y FortiCloud SSO demuestran que incluso soluciones de seguridad consolidadas pueden convertirse en puerta de entrada si no se gestionan de manera proactiva. Las organizaciones deberían desactivar de inmediato las funciones vulnerables, revisar sus equipos en busca de signos de intrusión y preparar planes de actualización acelerada a las próximas versiones de FortiOS. Mantener una disciplina estricta de parches, visibilidad en tiempo real y una cultura de mejora continua en ciberseguridad es hoy un requisito imprescindible para garantizar la resiliencia de la infraestructura de red.
