Se han publicado actualizaciones de seguridad para múltiples productos Fortinet que corrigen vulnerabilidades críticas con potencial impacto en la integridad, confidencialidad y disponibilidad de sistemas corporativos.
Dada la amplia implantación de soluciones Fortinet en infraestructuras públicas y privadas, se recomienda revisión inmediata.
Vulnerabilidades identificadas
CVE-2026-21643
Gravedad: 9.1 (CVSS)
Producto afectado: FortiClientEMS
Tipo: SQL Injection (CWE-89)
Descripción técnica:
La vulnerabilidad deriva de una neutralización incorrecta de elementos especiales en comandos SQL dentro del componente FortiClientEMS. Un atacante no autenticado podría enviar peticiones HTTP especialmente diseñadas para manipular consultas a la base de datos.
Impacto potencial:
- Ejecución remota de código
- Ejecución de comandos arbitrarios
- Compromiso del servidor EMS
- Movimiento lateral si el sistema está integrado con infraestructura de dominio
Versiones afectadas:
- FortiClientEMS 7.4.4 (actualizar a 7.4.5 o superior)
Versiones no afectadas:
- FortiClientEMS 7.2
- FortiClientEMS 8.0
CVE-2026-24858
Gravedad: 9.4 (CVSS)
Productos afectados: FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb
Descripción técnica:
La vulnerabilidad permite que un atacante con cuenta válida de FortiCloud y un dispositivo registrado pueda acceder a dispositivos registrados bajo otras cuentas cuando la autenticación FortiCloud SSO está habilitada.
Impacto confirmado por el fabricante:
Fortinet ha reconocido explotación activa en determinados entornos, con los siguientes efectos observados:
- Creación de cuentas administradoras locales para persistencia
- Modificación de configuraciones de seguridad
- Habilitación de accesos VPN no autorizados
- Exfiltración de configuraciones completas de firewall
- Alteración de políticas de red
Este escenario puede derivar en control total del dispositivo perimetral y pérdida de confianza en la infraestructura de red.
Nivel de riesgo
Al tratarse de soluciones que operan en el perímetro de red y gestionan autenticación, acceso remoto y políticas de seguridad, el impacto es crítico en entornos:
- Administración pública
- Infraestructuras críticas
- Redes corporativas con segmentación dependiente de FortiGate
- Entornos con integración SSO y FortiCloud
Un compromiso exitoso puede permitir:
- Persistencia avanzada
- Movimiento lateral
- Acceso a redes internas
- Exfiltración de información sensible
- Manipulación de reglas de filtrado y VPN
Acciones recomendadas (prioridad alta)
- Verificar inmediatamente la versión instalada de FortiClientEMS y otros productos Fortinet.
- Aplicar los parches oficiales publicados por el fabricante.
- Revisar logs administrativos en busca de:
– Creación reciente de cuentas locales
– Cambios en políticas de firewall
– Modificaciones en configuración VPN
– Accesos administrativos inusuales - Validar integridad de configuraciones exportando y comparando backups previos.
- Revisar configuración de FortiCloud SSO si está habilitada.
- Rotar credenciales administrativas como medida preventiva en entornos potencialmente expuestos.
Consideraciones para cumplimiento ENS
Estas vulnerabilidades afectan directamente a medidas relacionadas con:
- Control de accesos privilegiados
- Protección perimetral
- Gestión de vulnerabilidades
- Monitorización y registro de actividad
Se recomienda documentar la evaluación de riesgo, la aplicación del parche y las evidencias de revisión en el marco del sistema de gestión de seguridad.
Dada la criticidad y la posible explotación activa, esta actualización debe considerarse prioritaria en cualquier entorno que utilice soluciones Fortinet.
Recomendación para entidades públicas y locales
Dado que estas soluciones son ampliamente utilizadas en entornos institucionales, se recomienda a las entidades públicas y locales que revisen de forma prioritaria el estado de actualización de sus dispositivos Fortinet y contacten con su proveedor tecnológico en caso necesario.
