Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
Corresponde a una omisión de autenticación que afecta la lógica de SSO|FortiCloud en múltiples productos Fortinet. En condiciones normales el flujo SSO permite la delegación de autenticación a FortiCloud; la falla permite que un actor con control de una cuenta FortiCloud y un dispositivo registrado abuse del canal FortiCloud SSO para obtener sesiones administrativas en dispositivos de terceros que tengan FortiCloud SSO activado. En los incidentes observados la explotación fue automatizada y utilizó cuentas FortiCloud maliciosas para crear sesiones administrativas, extraer configuraciones y crear cuentas persistentes locales.
Aclaración. No es una vulnerabilidad exploitable indiscriminadamente contra cualquier dispositivo por cualquier atacante remoto; la condición necesaria es que el dispositivo objetivo tenga FortiCloud SSO habilitado y exista una cuenta/dispositivo controlados por el atacante.
Recursos afectados.
| Versión | Afectados | Solución |
| FortiAnalyzer 7.6 | 7.6.0 a 7.6.5 | Actualice a la próxima versión 7.6.6 o superior |
| FortiAnalyzer 7.4 | 7.4.0 a 7.4.9 | Actualice a 7.4.10 o superior |
| FortiAnalyzer 7.2 | 7.2.0 a 7.2.11 | Actualice a la próxima versión 7.2.12 o superior |
| FortiAnalyzer 7.0 | 7.0.0 a 7.0.15 | Actualice a la próxima versión 7.0.16 o superior |
| FortiManager 7.6 | 7.6.0 a 7.6.5 | Actualice a la próxima versión 7.6.6 o superior |
| FortiManager 7.4 | 7.4.0 a 7.4.9 | Actualice a 7.4.10 o superior |
| FortiManager 7.2 | 7.2.0 a 7.2.11 | Actualice a la próxima versión 7.2.13 o superior |
| FortiManager 7.0 | 7.0.0 a 7.0.15 | Actualice a la próxima versión 7.0.16 o superior |
| FortiOS 7.6 | 7.6.0 a 7.6.5 | Actualice a la próxima versión 7.6.6 o superior |
| FortiOS 7.4 | 7.4.0 a 7.4.10 | Actualice a 7.4.11 o superior |
| FortiOS 7.2 | 7.2.0 a 7.2.12 | Actualice a la próxima versión 7.2.13 o superior |
| FortiOS 7.0 | 7.0.0 a 7.0.18 | Actualice a la próxima versión 7.0.19 o superior |
| FortiProxy 7.6 | 7.6.0 a 7.6.4 | Actualice a la próxima versión 7.6.6 o superior |
| FortiProxy 7.4 | 7.4.0 a 7.4.12 | Actualice a la próxima versión 7.4.13 o superior |
| FortiProxy 7.2 | 7.2 todas las versiones | Migrar a una versión fija |
| FortiProxy 7.0 | 7.0 todas las versiones | Migrar a una versión fija |
| FortiWeb 8.0 | 8.0.0 a 8.0.3 | Actualice a la próxima versión 8.0.4 o superior |
| FortiWeb 7.6 | 7.6.0 a 7.6.6 | Actualice a la próxima versión 7.6.7 o superior |
| FortiWeb 7.4 | 7.4.0 a 7.4.11 | Actualice a la próxima versión 7.4.12 o superior |
La vulnerabilidad es relevante solo si FortiCloud SSO está habilitado en el dispositivo y el dispositivo está registrado con FortiCloud.
Versiones corregidas.
- FortiOS. Actualizar a 7.6.6+, 7.4.11+, 7.2.13+, 7.0.19+ (según rama).
- FortiProxy. actualizar a las versiones indicadas por Fortinet para su rama (por ejemplo ramas 7.6.x y 7.4.x con los micro-parches publicados).
- FortiAnalyzer / FortiManager / FortiWeb: actualizar a las versiones publicadas por Fortinet para cada rama (Ej. 7.6.x y 7.4.x con sufijos +).
Solución.
Aplicar los parches oficiales publicados por Fortinet para la rama específica de cada producto. Fortinet ha deshabilitado temporalmente FortiCloud SSO en su infraestructura para las versiones vulnerables; sin embargo, la remediación completa requiere instalar las versiones parcheadas en los dispositivos afectados y revisar configuraciones administrativas post-parche.
Aclaración: además del parche, es imprescindible revisar y restablecer credenciales y cuentas administrativas si se detectó actividad sospechosa.
Mitigación temporal. Si no es posible actualizar de inmediato:
- Deshabilitar FortiCloud SSO en los dispositivos afectados. Fortinet ha tomado la misma medida del lado de FortiCloud para reducir el riesgo, pero el bloqueo local evita exposición adicional.
- Restringir acceso administrativo: aplicar ACLs y firewall rules para limitar el acceso a interfaces de gestión únicamente desde IPs de administración conocidas.
- Deshabilitar administración remota (WAN) hasta aplicar parche.
- Auditar y bloquear cuentas FortiCloud sospechosas en su organización y rotar credenciales administrativas.
El énfasis debe ponerse en deshabilitar FortiCloud SSO si está activo y en restringir acceso administrativo.
Indicadores de compromiso.
Los IOC deben priorizarse en el contexto de SSO/FortiCloud:
- Sesiones administrativas iniciadas sin correlación con autenticación local desde cuentas o dispositivos FortiCloud desconocidos.
- Creación repentina de usuarios administrativos locales o modificaciones en cuentas con privilegios elevados.
- Descargas de configuraciones (backup|config|downloads) fuera de patrones normales.
- Registros de administración desde direcciones IP externas inusuales asociadas a proveedores de hosting o cloud que hayan sido observados en campañas previas.
- Alertas de detección de IDS/IPS relacionadas con accesos SSO no válidos.
Si se detecta cualquiera de los anteriores, aislar el dispositivo y proceder con análisis forense.
Posibles señales de explotación
- Peticiones/requests al flujo FortiCloud SSO que terminan en sesiones administrativas en logs web (HTTPS) sin tráfico previo de autenticación local.
- Picos repentinos de actividad administrativa: exportación de configuraciones, cambios en políticas, creación de cuentas, habilitación de VPNs.
- Errores/entradas en logs que indican sesiones autenticadas por FortiCloud provenientes de cuentas/dispositivos no autorizados.
- Conexiones desde IPs relacionadas con actividad automatizada originada en proveedores cloud conocidos.
Los indicadores HTTP/HTTPS por sí solos no confirman explotación, se debe buscar la correlación entre acciones administrativas y la fuente FortiCloud SSO.
Recomendaciones
- Parchear con prioridad las versiones afectadas y, una vez parcheado, rotar todas las credenciales administrativas y revisar roles y privilegios.
- Mantener monitorización específica sobre actividades SSO, FortiCloud y crear alertas para exportaciones de configuración y creación de usuarios administrativos.
- Incluir CVE-2026-24858 en el inventario de riesgos y en los playbooks de respuesta de incidentes.
- Realizar un análisis post-remediación para confirmar la ausencia de puertas traseras, cuentas ocultas o persistencia instalada durante explotación.
- Priorizar deshabilitar FortiCloud SSO cuando no sea imprescindible y revisar la lista de dispositivos registrados en FortiCloud como parte del hardening.
Referencias