Fortinet ha confirmado oficialmente que está trabajando para eliminar por completo una vulnerabilidad de elusión de autenticación SSO de FortiCloud tras recibir informes de nuevas actividades de explotación en firewalls completamente parcheados.

«En las últimas 24 horas, hemos identificado varios casos en los que el exploit se produjo en un dispositivo que se había actualizado por completo a la última versión en el momento del ataque, lo que sugería una nueva ruta de ataque», dijo Carl Windsor, director de seguridad de la información (CISO) de Fortinet dijo en un post del jueves.

Básicamente, la actividad se convierte en una derivación para abordar los parches implementados por el proveedor de seguridad de la red. CVE-2025-59718 y CVE-2025-59719 , lo que podría permitir la omisión no autenticada de la autenticación de inicio de sesión único mediante mensajes SAML diseñados si la función SSO de FortiCloud está habilitada en los dispositivos afectados. Fortinet abordó originalmente los problemas el mes pasado.

Sin embargo, a principios de esta semana, los informes surgido de una actividad renovada en la que los inicios de sesión de SSO maliciosos en los dispositivos FortiGate se registraron en la cuenta de administrador de los dispositivos que habían sido parcheados contra la doble vulnerabilidad. La actividad es similar a incidentes observado en diciembre, poco después de la divulgación de los CVE-2025-59718 y CVE-2025-59719.

La actividad implica la creación de cuentas genéricas para la persistencia, la realización de cambios en la configuración para conceder acceso VPN a esas cuentas y la filtración de las configuraciones del firewall a diferentes direcciones IP. Se ha observado al autor de la amenaza iniciando sesión con cuentas denominadas "cloud-noc@mail.io" y "cloud-init@mail.io».

Como medidas paliativas, la empresa insta a que se tomen las siguientes medidas:

  • Restrinja el acceso administrativo del dispositivo de red perimetral a través de Internet mediante la aplicación de una política local
  • Deshabilite los inicios de sesión de SSO de FortiCloud deshabilitando «admin-forticloud-sso-login»

«Es importante tener en cuenta que, si bien, por el momento, solo se ha observado la explotación del SSO de FortiCloud, este problema se aplica a todas las implementaciones de SSO de SAML», afirma Fortinet.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.