Vulnerabilidad Fortinet FortiGate: 3 Días Explotación Dic 2025

Vulnerabilidad Fortinet FortiGate CVE-2025-59718 y CVE-2025-59719 han sido explotadas activamente desde el 12 de diciembre de 2025, solo 3 días después de su divulgación pública. Estas vulnerabilidades críticas de bypass de autenticación SAML permiten a atacantes no autenticados acceder como administradores a dispositivos FortiGate, FortiProxy, FortiWeb y FortiSwitchManager. La agencia CISA ha incluido CVE-2025-59718 en su catálogo KEV con fecha límite de remediación para el 23 de diciembre de 2025.

¿Qué es la Vulnerabilidad Fortinet FortiGate CVE-2025-59718?

La vulnerabilidad Fortinet FortiGate CVE-2025-59718 es un fallo crítico de verificación incorrecta de firmas criptográficas (CWE-347) que afecta múltiples productos de Fortinet. Esta vulnerabilidad tiene un puntaje CVSS de 9.1, clasificándola como crítica debido a su facilidad de explotación y alto impacto.

El problema radica en la implementación del protocolo SAML (Security Assertion Markup Language) utilizado para la autenticación Single Sign-On (SSO) de FortiCloud. Cuando esta funcionalidad está habilitada, los dispositivos afectados no verifican correctamente las firmas criptográficas de los mensajes SAML, permitiendo que un atacante no autenticado envíe un mensaje SAML manipulado para obtener acceso administrativo completo sin credenciales.

La segunda vulnerabilidad, CVE-2025-59719, afecta específicamente a FortiWeb y comparte la misma raíz técnica: verificación inadecuada de firmas SAML. Ambas vulnerabilidades fueron divulgadas por Fortinet el 9 de diciembre de 2025 en el advisory de seguridad FG-IR-25-647.

Productos Afectados por la Vulnerabilidad Fortinet FortiGate

La vulnerabilidad Fortinet FortiGate afecta a múltiples productos y versiones:

• FortiOS: Versiones 7.0.0 a 7.0.16, 7.2.0 a 7.2.10, 7.4.0 a 7.4.5, 7.6.0 a 7.6.1
• FortiProxy: Versiones 7.0.0 a 7.0.19, 7.2.0 a 7.2.12, 7.4.0 a 7.4.6
• FortiSwitchManager: Versiones 7.0.0 a 7.0.4, 7.2.0 a 7.2.5
• FortiWeb: Versiones 7.4.0 a 7.4.4, 7.6.0 a 7.6.1 (CVE-2025-59719)

Es importante destacar que la explotación solo es posible si la funcionalidad FortiCloud SSO está habilitada. Aunque esta característica no está activada por defecto en configuraciones de fábrica, se habilita automáticamente cuando los administradores registran dispositivos en FortiCare a través de la interfaz gráfica, a menos que desactiven explícitamente la opción «Allow administrative login using FortiCloud SSO».

Explotación Activa de la Vulnerabilidad Fortinet FortiGate: Timeline

La explotación de la vulnerabilidad Fortinet FortiGate comenzó sorprendentemente rápido tras su divulgación:

• 9 de diciembre de 2025: Fortinet publica el advisory de seguridad FG-IR-25-647 divulgando CVE-2025-59718 y CVE-2025-59719
• 12 de diciembre de 2025: Arctic Wolf reporta las primeras intrusiones activas explotando ambas vulnerabilidades, solo 3 días después del disclosure
• 16 de diciembre de 2025: CISA añade CVE-2025-59718 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV)
• 17 de diciembre de 2025: Rapid7 confirma intentos de explotación contra honeypots en su red
• 23 de diciembre de 2025: Fecha límite establecida por CISA para que agencias federales de EE.UU. remedien la vulnerabilidad

Este timeline demuestra la ventana de explotación extremadamente corta entre el disclosure y los ataques activos, un patrón cada vez más común en vulnerabilidades críticas de infraestructura.

Cómo Funciona el Ataque de Bypass SAML en Fortinet

Los investigadores de seguridad han documentado la cadena de ataque utilizada para explotar la vulnerabilidad Fortinet FortiGate:

Fase 1: Reconocimiento

Los atacantes escanean Internet buscando dispositivos Fortinet con la interfaz de administración expuesta y la funcionalidad FortiCloud SSO habilitada. Herramientas como Shodan y Censys facilitan la identificación de objetivos potenciales.

Fase 2: Falsificación de Mensaje SAML

El atacante construye un mensaje SAML assertion malicioso que afirma tener credenciales administrativas válidas. Debido al fallo de verificación de firmas criptográficas, el dispositivo vulnerable acepta este mensaje como legítimo sin validar correctamente su autenticidad.

Fase 3: Bypass de Autenticación

El mensaje SAML manipulado se envía al dispositivo objetivo. El sistema lo procesa como una autenticación SSO válida de FortiCloud y otorga acceso administrativo completo sin requerir credenciales reales.

Fase 4: Acceso y Exfiltración

Una vez dentro, los atacantes tienen acceso administrativo completo a la GUI del dispositivo. Arctic Wolf reportó que los atacantes observados típicamente:

• Inician sesión como usuario «admin» usando el método SSO
• Exportan inmediatamente los archivos de configuración del dispositivo
• Extraen credenciales hasheadas almacenadas en las configuraciones
• Realizan reconocimiento de la red interna

Indicadores de Compromiso (IOCs) de la Vulnerabilidad Fortinet FortiGate

Los investigadores han identificado varios indicadores que pueden ayudar a detectar si su organización ha sido víctima de la vulnerabilidad Fortinet FortiGate:

Direcciones IP Maliciosas

Arctic Wolf reportó actividad maliciosa desde direcciones IP geolocalizadas en Alemania, Estados Unidos y Asia, originadas de un pequeño número de proveedores de hosting. Una IP específicamente mencionada en los reportes de seguridad:

199.247.7.82

Patrones en Logs

Los administradores deben buscar las siguientes entradas en los logs de sus dispositivos FortiGate:

• Logins administrativos exitosos usando el método «SSO» desde IPs externas no autorizadas
• Múltiples intentos de autenticación SSO en períodos cortos de tiempo
• Exportación de archivos de configuración por el usuario «admin» inmediatamente después de login SSO
• Accesos desde IPs de proveedores de hosting conocidos (especialmente VPS/cloud providers)

Comandos de Verificación

Para verificar si FortiCloud SSO está habilitado en su dispositivo:

config system global
get admin-forticloud-sso-login
end

Si el resultado es «enable», su dispositivo está potencialmente expuesto a la vulnerabilidad Fortinet FortiGate.

Mitigaciones y Parches para la Vulnerabilidad Fortinet FortiGate

Fortinet ha lanzado parches de seguridad para remediar la vulnerabilidad Fortinet FortiGate. Las organizaciones deben tomar acción inmediata siguiendo estas recomendaciones:

Acción Inmediata: Deshabilitar FortiCloud SSO

Como mitigación temporal mientras se aplican los parches, deshabilitar la funcionalidad FortiCloud SSO:

Desde la GUI:

• Navegar a System → Settings
• Desactivar el toggle «Allow administrative login using FortiCloud SSO»

Desde CLI:

config system global
set admin-forticloud-sso-login disable
end

Actualizar a Versiones Parcheadas

Fortinet ha publicado las siguientes versiones corregidas:

• FortiOS: 7.0.17+, 7.2.11+, 7.4.6+, 7.6.2+
• FortiProxy: 7.0.20+, 7.2.13+, 7.4.7+
• FortiSwitchManager: 7.0.5+, 7.2.6+
• FortiWeb: 7.4.5+, 7.6.2+ (para CVE-2025-59719)

Consulte el advisory oficial de Fortinet FG-IR-25-647 en FortiGuard PSIRT para información detallada sobre versiones afectadas y parches.

Acciones Post-Compromiso

Si encuentra evidencia de compromiso relacionada con la vulnerabilidad Fortinet FortiGate:

• Asuma compromiso completo: Considere que las credenciales hasheadas almacenadas en configuraciones exportadas han sido comprometidas
• Reset de credenciales: Cambie inmediatamente todas las contraseñas administrativas del firewall
• Auditoría de configuración: Revise cambios de configuración realizados durante el período de compromiso
• Análisis de logs: Investigue accesos y actividades sospechosas originadas desde el dispositivo comprometido
• Segmentación de red: Verifique que el atacante no haya establecido persistencia en sistemas internos

Respuesta de Fortinet y CISA ante la Vulnerabilidad

Fortinet publicó el advisory de seguridad FG-IR-25-647 el 9 de diciembre de 2025, proporcionando detalles técnicos completos sobre ambas vulnerabilidades y las versiones parcheadas disponibles. La empresa ha estado trabajando activamente con clientes afectados para facilitar la remediación.

Por su parte, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) añadió CVE-2025-59718 a su catálogo de Vulnerabilidades Explotadas Conocidas el 16 de diciembre de 2025. Esta inclusión requiere que todas las agencias federales civiles de EE.UU. apliquen mitigaciones antes del 23 de diciembre de 2025, conforme a la Directiva Operacional Vinculante (BOD) 22-01.

El Centro Canadiense para la Seguridad Cibernética también emitió el advisory AL25-019 instando a organizaciones canadienses a tomar acción inmediata.

Contexto: Vulnerabilidades Fortinet y Ataques a Firewalls Empresariales

Esta no es la primera vez que dispositivos Fortinet son objetivo de explotación masiva de vulnerabilidades críticas. En 2025, se han reportado múltiples incidentes de seguridad afectando firewalls empresariales:

• Explotación de vulnerabilidades post-autenticación en FortiOS (alertas CISA de abril 2025)
• Campañas de grupos APT dirigidas a dispositivos de red perimetrales
• Incremento de ataques a infraestructura VPN y SSO empresarial

Los firewalls y dispositivos de seguridad perimetrales representan objetivos de alto valor para atacantes, ya que su compromiso proporciona acceso privilegiado a redes internas, visibilidad del tráfico de red y capacidad de pivoteo hacia sistemas críticos.

La rápida explotación de la vulnerabilidad Fortinet FortiGate subraya la importancia crítica de:

• Mantener dispositivos de seguridad actualizados con los últimos parches
• Deshabilitar funcionalidades no esenciales como SSO cuando no se requieren
• Implementar segmentación de red para limitar el impacto de compromisos perimetrales
• Monitorear continuamente logs de acceso administrativo a dispositivos críticos
• Establecer procedimientos de respuesta rápida ante incidentes de seguridad y ransomware

Conclusión: Actuación Urgente Requerida

La vulnerabilidad Fortinet FortiGate CVE-2025-59718 y CVE-2025-59719 representan una amenaza crítica para organizaciones que utilizan productos Fortinet con FortiCloud SSO habilitado. Con explotación activa confirmada apenas 3 días después del disclosure público, la ventana para prevenir compromisos es extremadamente limitada.

Las organizaciones deben priorizar inmediatamente:

• Verificar si sus dispositivos Fortinet tienen FortiCloud SSO habilitado
• Deshabilitar temporalmente esta funcionalidad como mitigación inmediata
• Actualizar a versiones parcheadas lo antes posible
• Auditar logs en busca de indicadores de compromiso
• Implementar monitorización continua de accesos administrativos SSO

La seguridad de dispositivos perimetrales como firewalls es fundamental para proteger la infraestructura crítica organizacional. Mantenerse informado sobre las últimas amenazas de vulnerabilidades de ciberseguridad y aplicar parches de seguridad de manera oportuna son componentes esenciales de una estrategia de defensa en profundidad efectiva.

Preguntas Frecuentes sobre la Vulnerabilidad Fortinet FortiGate

¿Estoy afectado por la vulnerabilidad Fortinet FortiGate CVE-2025-59718?

Está afectado si utiliza FortiOS (7.0.0-7.0.16, 7.2.0-7.2.10, 7.4.0-7.4.5, 7.6.0-7.6.1), FortiProxy (7.0.0-7.0.19, 7.2.0-7.2.12, 7.4.0-7.4.6), FortiSwitchManager (7.0.0-7.0.4, 7.2.0-7.2.5) o FortiWeb (7.4.0-7.4.4, 7.6.0-7.6.1) Y tiene habilitada la funcionalidad FortiCloud SSO. Verifique ejecutando el comando «get admin-forticloud-sso-login» en la CLI.

¿Cómo verifico si mi dispositivo FortiGate ha sido comprometido?

Revise los logs de su dispositivo buscando: logins administrativos SSO desde IPs externas no autorizadas, exportaciones de configuración inmediatamente después de logins SSO, múltiples intentos de autenticación SSO en períodos cortos, y accesos desde proveedores de hosting conocidos (VPS). Las IPs reportadas incluyen 199.247.7.82 y otras geolocalizadas en Alemania, EE.UU. y Asia.

¿Puedo protegerme sin actualizar el firmware inmediatamente?

Sí, como mitigación temporal puede deshabilitar FortiCloud SSO mediante CLI («set admin-forticloud-sso-login disable») o GUI (System → Settings → desactivar «Allow administrative login using FortiCloud SSO»). Esto elimina la superficie de ataque mientras planifica la actualización a versiones parcheadas, pero debe actualizar el firmware lo antes posible.

¿Qué hago si encuentro evidencia de compromiso?

Si detecta indicadores de compromiso: (1) Asuma que todas las credenciales hasheadas en configuraciones exportadas están comprometidas, (2) Cambie inmediatamente todas las contraseñas administrativas, (3) Audite cambios de configuración durante el período de compromiso, (4) Investigue actividades sospechosas originadas desde el dispositivo, (5) Verifique que no se haya establecido persistencia en sistemas internos, y (6) Considere reportar el incidente a CISA o autoridades locales de ciberseguridad.

¿Por qué CISA clasificó esta vulnerabilidad como de remediación obligatoria?

CISA añadió CVE-2025-59718 al catálogo KEV debido a la confirmación de explotación activa en entornos reales apenas 3 días después del disclosure. La severidad crítica (CVSS 9.1), la facilidad de explotación sin autenticación, y el impacto (acceso administrativo completo a firewalls perimetrales) hacen que esta vulnerabilidad Fortinet FortiGate represente un riesgo significativo para infraestructuras críticas. La fecha límite del 23 de diciembre de 2025 refleja la urgencia de remediación.