La empresa de ciberseguridad Arctic Wolf ha prevenido de un «nuevo grupo de actividades maliciosas automatizadas» que implica cambios no autorizados en la configuración del firewall en los dispositivos Fortinet FortiGate.

La actividad, dijo, comenzó el 15 de enero de 2026, y agregó que comparte similitudes con un Campaña de diciembre de 2025 en el que se registraron inicios de sesión de SSO maliciosos en dispositivos FortiGate en la cuenta de administrador de diferentes proveedores de alojamiento mediante el uso de CVE-2025-59718 y CVE-2025-59719.

Ambas vulnerabilidades permiten eludir sin autenticación la autenticación de inicio de sesión de SSO mediante mensajes SAML diseñados cuando la función de inicio de sesión único (SSO) de FortiCloud está habilitada en los dispositivos afectados. Las deficiencias afectan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.

«Esta actividad implicó la creación de cuentas genéricas destinadas a la persistencia, los cambios de configuración que permitían el acceso de VPN a esas cuentas y la eliminación de las configuraciones de los firewalls», dijo Arctic Wolf sobre el grupo de amenazas en desarrollo.

Concretamente, esto implica iniciar sesión de SSO maliciosos contra una cuenta maliciosa "cloud-init@mail.io" desde cuatro direcciones IP diferentes, tras lo cual los archivos de configuración del firewall se exportan a las mismas direcciones IP a través de la interfaz GUI. La lista de direcciones IP de origen se encuentra a continuación:

  • 104.28.244 [.] 115
  • 104.28.212 [.] 114
  • 217,119,139 [.] 50
  • 37.1.209 [.] 19

Además, se ha observado que los actores de amenazas crean cuentas secundarias, como «secadmin», «itadmin», «support», «backup», «remoteadmin» y «audit», para persistir.

«Todos los eventos anteriores tuvieron lugar con segundos de diferencia, lo que indica la posibilidad de una actividad automatizada», agregó Arctic Wolf.

La divulgación coincide con un publicar en Reddit en el que varios usuarios informaron haber visto inicios de sesión de SSO maliciosos en dispositivos FortiOS completamente parcheados, y un usuario declaró: «El equipo de desarrolladores de Fortinet ha confirmado que la vulnerabilidad persiste o no está corregida en la versión 7.4.10».

The Hacker News se ha puesto en contacto con Fortinet para solicitar comentarios, y actualizaremos la historia si recibimos noticias. Mientras tanto, se recomienda desactivar la configuración «admin-forticloud-sso-login».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.