{"id":11225,"date":"2026-01-22T14:02:56","date_gmt":"2026-01-22T20:02:56","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11225"},"modified":"2026-01-22T20:28:55","modified_gmt":"2026-01-23T02:28:55","slug":"alerta-2026-07-vulnerabilidad-en-el-sso-de-fortinet-explotada-activamente","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2026-07-vulnerabilidad-en-el-sso-de-fortinet-explotada-activamente\/","title":{"rendered":"Alerta 2026-07 Vulnerabilidad en el  SSO de Fortinet explotada activamente"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<p>Las versiones de los siguientes productos est\u00e1n afectados:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>FortiOS:\n<ul class=\"wp-block-list\">\n<li>De 7.6.0 a 7.6.3;<\/li>\n\n\n\n<li>De 7.4.0 a 7.4.8;<\/li>\n\n\n\n<li>De 7.2.0 a 7.2.11;<\/li>\n\n\n\n<li>De 7.0.0 a 7.0.17.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>FortiProxy:\n<ul class=\"wp-block-list\">\n<li>De 7.4.0 a 7.4.10;<\/li>\n\n\n\n<li>De 7.2.0 a 7.2.14;<\/li>\n\n\n\n<li>De 7.0.0 a 7.0.21.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>FortiSwitchManager:\n<ul class=\"wp-block-list\">\n<li>De 7.2.0 a 7.2.6<\/li>\n\n\n\n<li>De 7.0.0 a 7.0.5.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>FortiWeb:\n<ul class=\"wp-block-list\">\n<li>8.0.0;<\/li>\n\n\n\n<li>De 7.6.0 a 7.6.4;<\/li>\n\n\n\n<li>De 7.4.0 a 7.4.9.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>Nota: Las versiones anteriores tambi\u00e9n pueden verse afectadas; consulte el aviso de Fortinet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha reportado una vulnerabilidad cr\u00edtica en la funci\u00f3n de inicio de sesi\u00f3n \u00fanico (SSO) de Fortinet para firewalls FortiGate, identificada como&nbsp;<a href=\"https:\/\/cybersecuritynews.com\/fortigate-devices-sso-vulnerabilities\/\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2025-59718<\/a>&nbsp;, est\u00e1 bajo explotaci\u00f3n activa. Actualmente tiene un score de CVSSv3 9.8 (Cr\u00edtica).<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2025-59718\u00a0<\/strong>: la vulnerabilidad afecta a las versiones de los productos FortiOS, FortiProxy y FortiSwitchManager ya mencionadas anteriormente.<\/li>\n\n\n\n<li><strong>CVE-2025-59719\u00a0<\/strong>: la vulnerabilidad afecta a las versiones del producto FortiWeb ya mencionadas anteriormente.<\/li>\n<\/ul>\n\n\n\n<p>Los atacantes lo est\u00e1n aprovechando para crear cuentas de administrador locales no autorizadas, otorgando acceso administrativo completo a dispositivos expuestos a Internet.<\/p>\n\n\n\n<p>La falla persiste a pesar de los parches, lo que permite la escalada de privilegios en firewalls que utilizan SAML o FortiCloud SSO para la autenticaci\u00f3n de administrador.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Mitigaci\u00f3n<\/h2>\n\n\n\n<p>Deshabilite los inicios de sesi\u00f3n SSO de FortiCloud a trav\u00e9s de CLI para bloquear la explotaci\u00f3n:<\/p>\n\n\n\n<p>textoconfig system global<br>set admin-forticloud-sso-login disable<br>end<\/p>\n\n\n\n<p>Esto previene ataques basados \u200b\u200ben SSO sin interrumpir la autenticaci\u00f3n local o SAML. Vuelva a habilitarlo despu\u00e9s de la actualizaci\u00f3n. Fortinet recomienda su aplicaci\u00f3n inmediata, especialmente en firewalls con acceso a internet.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Registros de auditor\u00eda<\/strong>&nbsp;: revisi\u00f3n de inicios de sesi\u00f3n SSO sospechosos y nuevos administradores (por ejemplo, \u201cservicio de asistencia t\u00e9cnica\u201d).<\/li>\n\n\n\n<li><strong>Segmentaci\u00f3n de red<\/strong>&nbsp;: restrinja el acceso de administrador; aplique pol\u00edticas de entrada local.<\/li>\n\n\n\n<li><strong>Monitoreo<\/strong>&nbsp;: Integre SIEM para cambios administrativos; escanee en busca de IOC como IP\/inicios de sesi\u00f3n coincidentes.<\/li>\n\n\n\n<li><strong>Aplicaci\u00f3n de parches<\/strong>&nbsp;: actualizar a versiones corregidas al momento del lanzamiento; probar en fase de prueba.<\/li>\n\n\n\n<li><strong>Respuesta empresarial<\/strong>&nbsp;: en caso de riesgo, rote las credenciales, a\u00edsle los dispositivos y comun\u00edquese con el soporte de Fortinet.<\/li>\n<\/ul>\n\n\n\n<p>Fortinet promete avisos pronto. Este incidente pone de relieve los riesgos del SSO en los firewalls, la desactivaci\u00f3n de funciones innecesarias y la monitorizaci\u00f3n intensiva. Est\u00e9n atentos a CVSS y a los IOC completos.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">IoCs<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>IOC<\/strong><\/td><td>Tipo<\/td><\/tr><tr><td>cloud-init@mail[.]io<\/td><td>Cuenta maliciosa observada iniciando sesi\u00f3n en dispositivos de firewall, descargando\/exfiltrando un archivo de configuraci\u00f3n de firewall<\/td><\/tr><tr><td>cloud-noc@mail[.]io<\/td><td>Cuenta maliciosa observada iniciando sesi\u00f3n en dispositivos de firewall, descargando\/exfiltrando un archivo de configuraci\u00f3n de firewall<\/td><\/tr><tr><td>104.28.244[.]115<\/td><td>IP de origen observado en intrusiones<\/td><\/tr><tr><td>104.28.212[.]114<\/td><td>IP de origen observado en intrusiones<\/td><\/tr><tr><td>217.119.139[.]50<\/td><td>IP de origen observado en intrusiones<\/td><\/tr><tr><td>37.1.209[.]19<\/td><td>IP de origen observado en intrusiones<\/td><\/tr><tr><td>secadmin<\/td><td>Cuenta creada tras el acceso inicial<\/td><\/tr><tr><td>itadmin<\/td><td>Cuenta creada tras el acceso inicial<\/td><\/tr><tr><td>support<\/td><td>Cuenta creada tras el acceso inicial<\/td><\/tr><tr><td>backup<\/td><td>Cuenta creada tras el acceso inicial<\/td><\/tr><tr><td>remoteadmin<\/td><td>Cuenta creada tras el acceso inicial<\/td><\/tr><tr><td>audit<\/td><td>Cuenta creada tras el acceso inicial<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">&nbsp;<\/h2>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n<\/h2>\n\n\n\n<p>El proveedor ha prove\u00eddo parches de seguridad para las siguientes versiones:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Versi\u00f3n<\/strong><\/td><td><strong>Afectado<\/strong><\/td><td><strong>Soluci\u00f3n<\/strong><\/td><\/tr><tr><td><strong>FortiOS 7.6<\/strong><\/td><td>7.6.0 a 7.6.3<\/td><td>Actualice a 7.6.4 o superior<\/td><\/tr><tr><td><strong>FortiOS 7.4<\/strong><\/td><td>7.4.0 a 7.4.8<\/td><td>Actualice a 7.4.9 o superior<\/td><\/tr><tr><td><strong>FortiOS 7.2<\/strong><\/td><td>7.2.0 a 7.2.11<\/td><td>Actualice a 7.2.12 o superior<\/td><\/tr><tr><td><strong>FortiOS 7.0<\/strong><\/td><td>7.0.0 a 7.0.17<\/td><td>Actualice a 7.0.18 o superior<\/td><\/tr><tr><td><strong>FortiOS 6.4<\/strong><\/td><td>No afectado<\/td><td>No aplicable<\/td><\/tr><tr><td><strong>FortiProxy 7.6<\/strong><\/td><td>7.6.0 a 7.6.3<\/td><td>Actualice a 7.6.4 o superior<\/td><\/tr><tr><td><strong>FortiProxy 7.4<\/strong><\/td><td>7.4.0 a 7.4.10<\/td><td>Actualice a 7.4.11 o superior<\/td><\/tr><tr><td><strong>FortiProxy 7.2<\/strong><\/td><td>7.2.0 a 7.2.14<\/td><td>Actualice a 7.2.15 o superior<\/td><\/tr><tr><td><strong>FortiProxy 7.0<\/strong><\/td><td>7.0.0 a 7.0.21<\/td><td>Actualice a 7.0.22 o superior<\/td><\/tr><tr><td><strong>Administrador de conmutadores Forti 7.2<\/strong><\/td><td>7.2.0 a 7.2.6<\/td><td>Actualice a 7.2.7 o superior<\/td><\/tr><tr><td><strong>Administrador de conmutadores Forti 7.0<\/strong><\/td><td>7.0.0 a 7.0.5<\/td><td>Actualice a 7.0.6 o superior<\/td><\/tr><tr><td><strong>FortiWeb 8.0<\/strong><\/td><td>8.0.0<\/td><td>Actualice a 8.0.1 o superior<\/td><\/tr><tr><td><strong>FortiWeb 7.6<\/strong><\/td><td>7.6.0 a 7.6.4<\/td><td>Actualice a 7.6.5 o superior<\/td><\/tr><tr><td><strong>FortiWeb 7.4<\/strong><\/td><td>7.4.0 a 7.4.9<\/td><td>Actualice a 7.4.10 o superior<\/td><\/tr><tr><td><strong>FortiWeb 7.2<\/strong><\/td><td>No afectado<\/td><td>No aplicable<\/td><\/tr><tr><td><strong>FortiWeb 7.0<\/strong><\/td><td>No afectado<\/td><td>No aplicable<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Sigue la herramienta de actualizaci\u00f3n prove\u00edda por el fabricante para m\u00e1s informaci\u00f3n de como actualizar sus dispositivos:<\/p>\n\n\n\n<p><a href=\"https:\/\/docs.fortinet.com\/upgrade-tool\">https:\/\/docs.fortinet.com\/upgrade-tool<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/cybersecuritynews.com\/fortinet-sso-vulnerability-exploited\/\">https:\/\/cybersecuritynews.com\/fortinet-sso-vulnerability-exploited\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.fortiguard.com\/psirt\/FG-IR-25-647\">https:\/\/www.fortiguard.com\/psirt\/FG-IR-25-647<\/a><\/li>\n\n\n\n<li>https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-59718<\/li>\n<\/ul>\n","protected":false},"featured_media":10598,"template":"","class_list":["post-11225","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"7","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11225","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":4,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11225\/revisions"}],"predecessor-version":[{"id":11232,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11225\/revisions\/11232"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10598"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11225"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}