Fortinet confirmó la explotación activa de la vulnerabilidad Zero-Day crítica
que afecta a FortiCloud Single Sign-On (SSO) y permite a atacantes obtener
acceso administrativo a dispositivos registrados en cuentas de terceros. Como
medida de contención inmediata,
en enero la compañía deshabilitó temporalmente FortiCloud SSO a nivel
servidor, restaurándolo luego con bloqueos específicos para dispositivos
vulnerables.
⚠️ La vulnerabilidad solo se puede explotar cuando FortiCloud SSO está
habilitado. Si no se utiliza FortiCloud SSO y no es indispensable, se debe
deshabilitar ya mismo.
El incidente, rastreado internamente como
FG-IR-26-060, impacta a múltiples productos clave del ecosistema Fortinet y representa un
riesgo serio para infraestructuras expuestas, incluso aquellas completamente
parcheadas frente a vulnerabilidades anteriores. Este incidente se relaciona
con advisories previos de diciembre de 2025 (FG-IR-25-647), donde fallos similares fueron parcheados pero posteriormente eludidos por
un nuevo vector.
Los clientes deberían utilizar Fortinet Upgrade Tool para actualizar.
La falla se debe a una vulnerabilidad de omisión de autenticación mediante una
ruta o canal alternativo (CWE-288).
Afecta a FortiOS, FortiManager y FortiAnalyzer cuando el inicio de
sesión único (SSO) de FortiCloud está habilitado.
Esta función no está activa por defecto, pero suele activarse durante
el registro de FortiCare, a menos que se desactive explícitamente.
Los atacantes la explotan para obtener acceso administrativo a los
dispositivos objetivo, incluso aquellos con parches completos para problemas
anteriores relacionados. Fortinet señala que la vulnerabilidad también afecta
a todas las implementaciones de SSO SAML, aunque hasta el momento se ha
limitado al SSO de FortiCloud. Fortinet también indicó que todas las
implementaciones SAML SSO están teóricamente afectadas, aunque por el momento
solo se confirmó explotación vía FortiCloud SSO.
Un atacante con una cuenta FortiCloud maliciosa puede autenticarse vía SSO
en dispositivos registrados a otras cuentas FortiCloud obteniendo acceso
administrativo completo.
Versiones afectadas
| Producto | Versión afectada | Solución |
|---|---|---|
| FortiAnalyzer 7.6 | 7.6.0 through 7.6.5 | Upgrade to 7.6.6 or above |
| FortiAnalyzer 7.4 | 7.4.0 through 7.4.9 | Upgrade to 7.4.10 or above |
| FortiAnalyzer 7.2 | 7.2.0 through 7.2.11 | Upgrade to 7.2.12 or above |
| FortiAnalyzer 7.0 | 7.0.0 through 7.0.15 | Upgrade to 7.0.16 or above |
| FortiAnalyzer 6.4 | Not affected | N/A |
| FortiManager 7.6 | 7.6.0 through 7.6.5 | Upgrade to 7.6.6 or above |
| FortiManager 7.4 | 7.4.0 through 7.4.9 | Upgrade to 7.4.10 or above |
| FortiManager 7.2 | 7.2.0 through 7.2.11 | Upgrade to 7.2.13 or above |
| FortiManager 7.0 | 7.0.0 through 7.0.15 | Upgrade to 7.0.16 or above |
| FortiManager 6.4 | Not affected | N/A |
| FortiOS 7.6 | 7.6.0 through 7.6.5 | Upgrade to 7.6.6 or above |
| FortiOS 7.4 | 7.4.0 through 7.4.10 | Upgrade to 7.4.11 or above |
| FortiOS 7.2 | 7.2.0 through 7.2.12 | Upgrade to 7.2.13 or above |
| FortiOS 7.0 | 7.0.0 through 7.0.18 | Upgrade to 7.0.19 or above |
| FortiOS 6.4 | Not affected | N/A |
| FortiProxy 7.6 | 7.6.0 through 7.6.4 | Upgrade to 7.6.6 or above |
| FortiProxy 7.4 | 7.4.0 through 7.4.12 | Upgrade to 7.4.13 or above |
| FortiProxy 7.2 | All versions | Migrate to fixed release |
| FortiProxy 7.0 | All versions | Migrate to fixed release |
En ataques confirmados, los atacantes lograron:
- Acceso administrativo y persistencia
- Ingresar vía SSO con éxito
- Crear usuarios administradores locales persistentes
- Descargar configuraciones completas
- Mantener acceso incluso tras reinicios
Esto convierte a la vulnerabilidad en un riesgo crítico de compromiso total
del dispositivo, especialmente grave en firewalls perimetrales.
Mitigaciones inmediatas recomendadas
Deshabilitar FortiCloud SSO (si no es estrictamente necesario)
FortiOS / FortiProxy
config system global
set admin-forticloud-sso-login disable
endFortiManager / FortiAnalyzer
config system saml
set forticloud-sso disable
endRestringir acceso administrativo
- Aplicar local-in policies
- Permitir solo IPs de administración confiables
Si hay indicios de compromiso
- Actualizar firmware inmediatamente
- Restaurar configuración limpia
- Rotar credenciales (admins, VPN, LDAP)
- Auditar integraciones externas
- Eliminar usuarios sospechosos
La vulnerabilidad FG-IR-26-060 es un claro recordatorio de que los servicios
cloud integrados en dispositivos de seguridad también amplían la superficie de
ataque. En este caso, un bypass de autenticación permitió compromisos
completos en firewalls Fortinet totalmente parcheados.
Usuarios administradores creados post-explotación
- audit, backup, itadmin, secadmin, support
- backupadmin, deploy, remoteadmin
- security, svcadmin, system
Logs a revisar
- Logins SSO exitosos > logid=0100032001
- Creación de admins > logid=0100044547
Fuente:
CyberSecurity