EXPLOTACIÓN ACTIVA DE VULNERABILIDADES EN FORTINET (SSO)

fortinet
Empresas
Ciudadanía
Administración pública
Vulnerabilidades
Nivel de alerta
Crítico

Las vulnerabilidades permiten la omisión completa de los mecanismos de autenticación. Una vez habilitado FortiCloud SSO, los atacantes pueden generar aserciones SAML falsas para iniciar sesión como administradores, exportar configuraciones del sistema vía GUI y obtener credenciales sensibles. Se han observado accesos exitosos y descargas de configuración desde direcciones IP externas.
 

Productos afectados

  • FortiOS
  • FortiWeb
  • FortiProxy
  • FortiSwitchManager


El riesgo se materializa cuando FortiCloud SSO está habilitado. Aunque esta opción se encuentra desactivada por defecto, puede activarse automáticamente durante el proceso de registro del dispositivo si no se desmarca explícitamente la opción correspondiente.

 

Versiones afectadas y corregidas

  • FortiOS 7.6 (7.6.0-7.6.3) - 7.6.4 o superior
  • FortiOS 7.4 (7.4.0-7.4.8) - 7.4.9 o superior
  • FortiOS 7.2 (7.2.0-7.2.11) - 7.2.12 o superior
  • FortiOS 7.0 (7.0.0-7.0.17) - 7.0.18 o superior
  • FortiProxy 7.6 (7.6.0-7.6.3) - 7.6.4 o superior
  • FortiProxy 7.4 (7.4.0-7.4.10) - 7.4.11 o superior
  • FortiProxy 7.2 (7.2.0-7.2.14) - 7.2.15 o superior
  • FortiProxy 7.0 (7.0.0-7.0.21) - 7.0.22 o superior
  • FortiSwitchManager 7.2 (7.2.0-7.2.6) - 7.2.7 o superior
  • FortiSwitchManager 7.0 (7.0.0-7.0.5) - 7.0.6 o superior
  • FortiWeb 8.0 (8.0.0) - 8.0.1 o superior
  • FortiWeb 7.6 (7.6.0-7.6.4) - 7.6.5 o superior
  • FortiWeb 7.4 (7.4.0-7.4.9) - 7.4.10 o superior

 

Indicadores de compromiso (IOC - ejemplos)

  • 45.32.153.218
  • 167.179.76.111
  • 199.247.7.182
  • 45.61.136.7
  • 38.54.88.203
  • 38.54.95.226
  • 38.60.212.97
     

Evidencias observadas


Registros que muestran inicio de sesión SSO exitoso, seguido de la descarga de la configuración del sistema desde la interfaz gráfica, el que indica un compromiso completo del dispositivo.

Medidas urgentes recomendadas

  1. Actualizar inmediatamente los dispositivos a las versiones corregidas.
  2. Deshabilitar FortiCloud SSO si no es estrictamente necesario.
  3. Revisar los registros de autenticación SSO.
  4. Verificar exportaciones de configuración no autorizadas.
  5. Restablecer todas las credenciales administrativas.
  6. Restringir el acceso administrativo desde Internet.
  7. Monitorizar actividad anómala posterior al acceso.

Impacto potencial

  • Compromiso total del perímetro de red.
  • Exposición de credenciales e información sensible.
  • Acceso persistente por parte de atacantes.
  • Alto riesgo de ataques posteriores, incluyendo movimiento lateral o ransomware .

Debido a la explotación activa y al impacto crítico, esta alerta debe ser tratada como prioritaria por todas las organizaciones que utilicen productos Fortinet, especialmente aquellas con dispositivos expuestos a Internet.