Fortinet ha comenzado a publicar actualizaciones de seguridad para corregir una falla crítica que afecta a FortiOS y que ha sido objeto de explotación activa en la naturaleza.

La vulnerabilidad, asignada al identificador CVE CVE-2026-24858 (puntuación CVSS: 9.4), se ha descrito como una omisión de autenticación relacionada con el inicio de sesión único (SSO) de FortiOS. La falla también afecta a FortiManager y FortiAnalyzer. La compañía dijo que continúa investigando si otros productos, incluidos FortiWeb y FortiSwitch Manager, se ven afectados por la falla.

«Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo [CWE-288] en FortiManager y FortiAnalyzer puede permitir a un atacante con una cuenta de FortiCloud y un dispositivo registrado iniciar sesión en otros dispositivos registrados en otras cuentas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos», Fortinet dijo en un aviso publicado el martes.

Vale la pena señalar que la función de inicio de sesión de SSO de FortiCloud no está habilitada en la configuración predeterminada de fábrica. Solo se activa en los casos en los que un administrador registra el dispositivo en FortiCare desde la GUI del dispositivo, a menos que haya tomado medidas para activar explícitamente la opción «Permitir el inicio de sesión administrativo mediante el SSO de FortiCloud».

El desarrollo se produce días después de Fortinet confirmada que actores de amenazas no identificados estaban abusando de una «nueva ruta de ataque» para iniciar sesión de inicio de sesión único sin necesidad de autenticación. El acceso era abusado para crear cuentas de administración locales para la persistencia, realizar cambios en la configuración que concedan acceso VPN a esas cuentas y filtrar esas configuraciones de firewall.

Durante la semana pasada, el proveedor de seguridad de red dijo ha tomado las siguientes medidas -

  • Se bloquearon dos cuentas maliciosas de FortiCloud (cloud-noc@mail.io y cloud-init@mail.io) el 22 de enero de 2026
  • Se deshabilitó el SSO de FortiCloud en FortiCloud el 26 de enero de 2026
  • Se volvió a habilitar el SSO de FortiCloud el 27 de enero de 2026, pero se deshabilitó la opción de iniciar sesión desde dispositivos que ejecutan versiones vulnerables

En otras palabras, los clientes deben actualizar a las versiones más recientes del software para que funcione la autenticación SSO de FortiCloud. Fortinet también insta a los usuarios que detecten señales de seguridad a que consideren que sus dispositivos han sido violados y recomienda tomar las siguientes medidas:

  • Asegúrese de que el dispositivo esté ejecutando la última versión de firmware
  • Restaure la configuración con una versión limpia conocida o audite cualquier cambio no autorizado
  • Rote las credenciales, incluidas las cuentas LDAP/AD que puedan estar conectadas a los dispositivos FortiGate

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a agregar CVE-2026-24858 a sus vulnerabilidades explotadas conocidas ( KEV ), que obliga a las agencias del Poder Ejecutivo Civil Federal (FCEB) a solucionar los problemas antes del 30 de enero de 2026.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.