Fortinet ha confirmado oficialmente que está trabajando para cerrar por completo una vulnerabilidad de bypass de autenticación SSO de FortiCloud, tras informes de nueva actividad de explotación en firewalls completamente parcheados.
“En las últimas 24 horas, hemos identificado varios casos donde la explotación se dirigió a un dispositivo que había sido actualizado por completo a la última versión en el momento del ataque, lo que sugería una nueva vía de ataque”, declaró Carl Windsor, director de seguridad de la información (CISO) de Fortinet, en una publicación del jueves.
La actividad constituye esencialmente un bypass de los parches implementados por el proveedor de seguridad de red para abordar CVE-2025-59718 y CVE-2025-59719, que podrían permitir el bypass no autenticado de la autenticación de inicio de sesión SSO mediante mensajes SAML manipulados si la función FortiCloud SSO está habilitada en los dispositivos afectados. Las vulnerabilidades fueron corregidas originalmente por Fortinet el mes pasado.
Sin embargo, a principios de esta semana, surgieron informes de actividad renovada en la que se registraron inicios de sesión SSO maliciosos en dispositivos FortiGate contra la cuenta de administrador en dispositivos que habían sido parcheados contra las dos vulnerabilidades. La actividad es similar a los incidentes observados en diciembre, poco después de la divulgación de CVE-2025-59718 y CVE-2025-59719.
La actividad implica la creación de cuentas genéricas para persistencia, la realización de cambios de configuración que otorgan acceso VPN a esas cuentas y la exfiltración de configuraciones del firewall a diferentes direcciones IP. Se ha observado que el actor de amenazas inicia sesión con cuentas llamadas 'cloud-noc@mail.io' y 'cloud-init@mail.io'.
Como medidas de mitigación, la empresa insta a las siguientes acciones:
- Restringir el acceso administrativo de los dispositivos de red perimetral a través de Internet aplicando una política local-in
- Deshabilitar los inicios de sesión SSO de FortiCloud desactivando 'admin-forticloud-sso-login'
“Es importante señalar que, aunque en este momento solo se ha observado explotación de FortiCloud SSO, este problema es aplicable a todas las implementaciones de SAML SSO”, indicó Fortinet.
