Vulnerabilidades críticas permiten accesos sin contraseña.Los firewalls Fortinet FortiGate están siendo atacados activamente tras la divulgación pública de dos vulnerabilidades críticas que permiten a los atacantes eludir la autenticación sin necesidad de contraseñas. Los fallos, identificados como CVE-2025-59718 y CVE-2025-59719, presentan una puntuación CVSS de 9.8, lo que los sitúa en el nivel más alto de gravedad.
CISA ordena parches urgentes antes de diciembre de 2025
Ante la explotación activa de estas fallas, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) ha ordenado a las agencias federales aplicar los parches correspondientes antes del 23 de diciembre de 2025. La advertencia subraya el riesgo inmediato que enfrentan las organizaciones que mantienen sistemas sin actualizar.
Ataques detectados mediante inicio de sesión SSO malicioso
El 12 de diciembre, la firma de ciberseguridad Arctic Wolf detectó una campaña de ataques dirigida a dispositivos FortiGate, basada en inicios de sesión maliciosos mediante Single Sign-On (SSO).
Los atacantes utilizaron direcciones IP vinculadas a un grupo reducido de proveedores de hosting, entre ellos The Constant Company LLC, BL Networks y Kaopu Cloud HK Limited, para acceder al usuario administrador (“admin”).
Una vez dentro, los actores maliciosos exportaron la configuración completa del dispositivo desde la interfaz gráfica de FortiGate, enviando posteriormente la información a las mismas direcciones IP utilizadas en el ataque.
El rol clave de FortiCloud SSO en la explotación
Las vulnerabilidades se explotan cuando FortiCloud SSO está habilitado. Mediante el uso de mensajes SAML especialmente diseñados, los atacantes logran evadir los mecanismos de autenticación e ingresar sin credenciales válidas.
Aunque FortiCloud SSO está deshabilitado por defecto, Arctic Wolf advirtió que la función se activa automáticamente durante el registro en FortiCare, salvo que los administradores desmarquen explícitamente la opción “Allow administrative login using FortiCloud SSO”.
Esto implica que muchas organizaciones podrían estar expuestas sin saberlo.
Riesgo adicional: robo y descifrado de credenciales
Si bien las credenciales almacenadas en los dispositivos Fortinet suelen estar hasheadas, los expertos alertan que los atacantes frecuentemente descifran estos hashes de forma offline, especialmente cuando se utilizan contraseñas débiles o reutilizadas.
“Los actores de amenaza suelen romper hashes fuera de línea, sobre todo cuando las credenciales son vulnerables a ataques de diccionario”, advirtió Arctic Wolf.
Firewalls y VPN, objetivos recurrentes de ataques masivos
Los investigadores señalaron que los interfaces de administración de firewalls y VPN son objetivos habituales en campañas de explotación masiva, muchas veces identificados mediante motores de búsqueda especializados que detectan dispositivos expuestos o mal configurados.
Arctic Wolf indicó que ha observado múltiples campañas similares en los últimos años, dirigidas específicamente a plataformas de gestión de seguridad perimetral.
Recomendaciones urgentes para las organizaciones
Como medida de seguridad inmediata, los especialistas recomiendan:
- Actualizar de inmediato los firewalls Fortinet afectados
- Cambiar todas las contraseñas, especialmente las administrativas
- Restringir el acceso a las interfaces de gestión solo a redes internas confiables
- Verificar y desactivar FortiCloud SSO si no es estrictamente necesario
Reducir la superficie de ataque es clave para evitar compromisos graves en la infraestructura de red.
