Vulnerabilidad en SSO de Fortinet es explotada para tomar control total de firewalls FortiGate

Una vulnerabilidad crítica en los firewalls FortiGate de Fortinet está siendo explotada activamente por actores maliciosos para obtener acceso administrativo completo a dispositivos expuestos a internet. La falla, identificada como CVE-2025-59718, afecta al mecanismo de Single Sign-On (SSO) de FortiCloud y permite a atacantes remotos crear cuentas locales de administrador sin autorización.

Diversas organizaciones han reportado incidentes con patrones de ataque prácticamente idénticos, lo que llevó al equipo de respuesta a incidentes de Fortinet (PSIRT) a iniciar una investigación forense. En todos los casos analizados, los atacantes lograron eludir los controles normales de autenticación mediante inicios de sesión SSO manipulados, obteniendo privilegios de administrador en cuestión de minutos.

La vulnerabilidad reside en el sistema de autenticación SSO utilizado por FortiOS, especialmente en dispositivos que emplean FortiCloud SSO o SAML para el acceso administrativo. A pesar de que algunos entornos ya habían aplicado parches previos, la falla persiste en versiones recientes, permitiendo la escalada de privilegios y la creación de cuentas traseras con nombres aparentemente legítimos, como “helpdesk”, y con control total del sistema.

Aunque Fortinet aún no ha publicado una puntuación oficial CVSS, el impacto en escenarios reales es severo. Para que el ataque sea viable, el firewall debe estar accesible desde internet y tener habilitado el inicio de sesión SSO. Una vez comprometido, el dispositivo puede ser utilizado para espionaje, movimiento lateral o como punto de entrada a redes corporativas completas.

Los primeros reportes públicos surgieron en comunidades técnicas, donde usuarios documentaron incidentes en dispositivos con FortiOS 7.4.9, incluyendo modelos como el FGT60F. En varios casos, un único inicio de sesión SSO desde una dirección IP externa desencadenó la creación automática de un administrador local, evento que fue detectado posteriormente mediante sistemas SIEM.

Algunas organizaciones afectadas reconocieron que sus políticas Local-In fallaron o estaban mal configuradas, permitiendo el acceso externo a la interfaz administrativa. Otras, que utilizaban autenticación SAML, confirmaron la aparición de la cuenta “helpdesk” sin intervención humana. Fortinet ha confirmado que el problema sigue presente incluso en la versión 7.4.10, y que las correcciones definitivas están previstas para próximas actualizaciones.

Investigadores de Shadowserver alertaron además que más de 25.000 dispositivos Fortinet se encontraban accesibles públicamente en internet a mediados de diciembre, muchos de ellos con SSO de FortiCloud habilitado, lo que amplía significativamente la superficie de ataque.

Según la información disponible, las siguientes versiones se encuentran afectadas:

• FortiOS 7.4.9 y 7.4.10: vulnerables y explotadas activamente
• FortiOS 7.6.x: vulnerable
• FortiOS 8.0.x (pre-lanzamiento): vulnerable

Fortinet ha indicado que las correcciones llegarán en las versiones 7.4.11, 7.6.6 y 8.0.0, respectivamente.

Mientras tanto, la compañía recomienda aplicar una mitigación inmediata desactivando temporalmente el inicio de sesión SSO de FortiCloud, lo que bloquea el vector de ataque sin afectar la autenticación local ni SAML:

config system global 
set admin-forticloud-sso-login disable  
end 

Adicionalmente, se aconseja revisar los registros en busca de inicios de sesión SSO sospechosos, auditar la creación reciente de cuentas administrativas, reforzar las políticas Local-In, limitar el acceso administrativo por IP y habilitar monitoreo continuo mediante SIEM. En caso de compromiso confirmado, se debe aislar el dispositivo, rotar credenciales y contactar de inmediato al soporte de Fortinet.

Este incidente vuelve a poner sobre la mesa los riesgos de exponer interfaces administrativas a internet y de habilitar funciones de SSO innecesarias en dispositivos perimetrales. Hasta que se publiquen los parches definitivos y los indicadores de compromiso completos, los expertos recomiendan mantener una postura defensiva estricta y un monitoreo activo de todos los firewalls FortiGate.