Los actores de amenazas han comenzado a aprovechar dos fallas de seguridad recientemente reveladas en los dispositivos Fortinet FortiGate, menos de una semana después de su divulgación pública.
La empresa de ciberseguridad Arctic Wolf dijo que el 12 de diciembre de 2025 observó intrusiones activas relacionadas con inicios de sesión únicos (SSO) malintencionados en los dispositivos FortiGate. Los ataques explotan dos desvíos de autenticación críticos (CVE-2025-59718 y CVE-2025-59719, puntuaciones CVSS: 9,8). La semana pasada, Fortinet publicó parches para corregir las fallas para FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.
«Estas vulnerabilidades permiten eludir sin autenticación la autenticación de inicio de sesión único mediante mensajes SAML diseñados, si la función SSO de FortiCloud está habilitada en los dispositivos afectados», dijo Arctic Wolf Labs dijo en un nuevo boletín.
Vale la pena señalar que, si bien el SSO de FortiCloud está deshabilitado de forma predeterminada, se habilita automáticamente durante el registro de FortiCare, a menos que los administradores lo desactiven explícitamente mediante la opción «Permitir el inicio de sesión administrativo mediante el SSO de FortiCloud» en la página de registro.
En la actividad maliciosa observada por Arctic Wolf, las direcciones IP asociadas a un conjunto limitado de proveedores de alojamiento, como The Constant Company llc, Bl Networks y Kaopu Cloud Hk Limited, se utilizaron para iniciar sesión de SSO maliciosos contra la cuenta de «administrador».
Tras los inicios de sesión, se descubrió que los atacantes exportaban las configuraciones de los dispositivos a través de la GUI a las mismas direcciones IP.
Un portavoz de Arctic Wolf Labs dijo a The Hacker News que la campaña aún se encuentra en sus primeras etapas, y agregó que solo una proporción relativamente pequeña de las redes monitoreadas se han visto afectadas.
«Nuestra investigación continúa sobre el origen y la naturaleza de esta actividad de amenaza, y no podemos atribuir los ataques a ningún grupo de actores de amenazas específico en este momento», agregó. «Hasta ahora, el patrón de actividad parece ser de naturaleza oportunista».
A la luz de la actividad de explotación en curso, se recomienda a las organizaciones que apliquen los parches lo antes posible. Como medida de mitigación, es fundamental deshabilitar el SSO de FortiCloud hasta que las instancias se actualicen a la versión más reciente y limitar el acceso a las interfaces de administración de los firewalls y las VPN a los usuarios internos de confianza.
«Si bien las credenciales suelen estar cifradas en las configuraciones de los dispositivos de red, se sabe que los actores de amenazas descifran los códigos hash sin conexión, especialmente si las credenciales son débiles y susceptibles a los ataques de diccionarios», afirma Arctic Wolf.
Se recomienda a los clientes de Fortinet que consideren que los indicadores de riesgo (IOC) concuerdan con la campaña que asuman el compromiso y restablezcan las credenciales de firewall con hash almacenadas en las configuraciones filtradas.
Actualización
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), el 16 de diciembre de 2025, adicional CVE-2025-59718 a sus vulnerabilidades explotadas conocidas ( KEV ), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 23 de diciembre de 2025.