**Fortinet confirma explotación activa de vulnerabilidad crítica de FortiCloud SSO en firewalls actualizados**
—
### Introducción
Apenas unos días después de que administradores de sistemas reportaran compromisos en firewalls Fortinet con el firmware completamente actualizado, la compañía ha confirmado la existencia de una vulnerabilidad crítica que permite la evasión de autenticación a través del sistema FortiCloud SSO. Este incidente ha generado preocupación en la comunidad profesional de ciberseguridad, especialmente por el hecho de que la vulnerabilidad debería haber sido resuelta mediante parches distribuidos desde principios de diciembre de 2023, pero sigue siendo explotada activamente.
—
### Contexto del Incidente
La alarma saltó a finales de mayo de 2024, cuando múltiples administradores comenzaron a reportar accesos no autorizados en dispositivos FortiGate, pese a haber aplicado las actualizaciones recomendadas por el fabricante. El vector de ataque identificado está vinculado a FortiCloud SSO (Single Sign-On), una funcionalidad cloud que permite a los usuarios autenticarse de manera centralizada en la infraestructura de Fortinet.
Fortinet, tras las primeras denuncias en foros especializados y plataformas como Reddit y Twitter, publicó un comunicado reconociendo la explotación activa de una vulnerabilidad crítica. La empresa está actualmente trabajando en nuevas soluciones y análisis forenses para contener la situación.
—
### Detalles Técnicos
La vulnerabilidad, identificada como **CVE-2023-27997**, afecta a la funcionalidad SSO de FortiCloud. Este fallo permite a un atacante remoto eludir la autenticación y obtener acceso privilegiado a la interfaz de administración de los firewalls afectados. Según el aviso oficial, el exploit no requiere interacción del usuario ni credenciales válidas.
**Vectores de ataque:**
– El atacante envía peticiones especialmente manipuladas al endpoint de autenticación SSO.
– El fallo reside en la validación insuficiente de tokens de autenticación, permitiendo suplantar a usuarios legítimos.
– Técnicas observadas incluyen el uso de scripts automatizados y herramientas de explotación integradas en frameworks como **Metasploit**.
**Tácticas, técnicas y procedimientos (TTP) – MITRE ATT&CK:**
– **Initial Access (TA0001):** Exploit de vulnerabilidad en servicio expuesto a Internet.
– **Privilege Escalation (TA0004):** Acceso a interfaz de administración con privilegios elevados.
– **Defense Evasion (TA0005):** Eliminación de logs y manipulación de configuraciones para ocultar la intrusión.
**Indicadores de compromiso (IoC):**
– Accesos inusuales al puerto de administración (por defecto 443).
– Creación de cuentas administrativas no autorizadas.
– Cambios en la configuración del SSO y en reglas de firewall sin justificación.
**Versiones afectadas:**
– FortiOS 7.0.x antes de la versión 7.0.12
– FortiOS 7.2.x antes de la versión 7.2.5
– FortiOS 6.4.x antes de la versión 6.4.14
—
### Impacto y Riesgos
El impacto de la explotación de CVE-2023-27997 es severo. Según las estimaciones de Fortinet, más del 35% de los dispositivos FortiGate expuestos a Internet podrían estar afectados si no han aplicado las últimas actualizaciones. La vulnerabilidad permite el control total del dispositivo, lo que posibilita la desactivación de políticas de seguridad, el establecimiento de persistencia o el acceso lateral a otros segmentos de la red interna.
Entre los riesgos más críticos se encuentran:
– **Despliegue de ransomware** tras la caída de protecciones perimetrales.
– **Robo de credenciales y datos sensibles** mediante interceptación de tráfico.
– **Compromiso de la cadena de confianza** en entornos regulados por GDPR o NIS2.
—
### Medidas de Mitigación y Recomendaciones
Fortinet urge a todos los clientes a:
1. **Actualizar inmediatamente** a las versiones parcheadas (7.0.12, 7.2.5, 6.4.14 o superiores).
2. **Restringir el acceso** a la interfaz de administración, limitando el tráfico únicamente a IPs de confianza mediante reglas de firewall.
3. **Deshabilitar temporalmente el FortiCloud SSO** si no es estrictamente necesario.
4. **Monitorizar logs** en busca de accesos y modificaciones sospechosas.
5. **Implementar autenticación multifactor (MFA)** en la administración de dispositivos.
Se recomienda también la integración de soluciones XDR y SIEM para detectar patrones anómalos, así como la realización de pruebas de intrusión regulares para verificar la efectividad de los controles implementados.
—
### Opinión de Expertos
Varios analistas SOC y consultores de ciberseguridad han subrayado la importancia de no confiar únicamente en el ciclo de parches automáticos. «La explotación activa de vulnerabilidades conocidas en productos de seguridad demuestra que los atacantes monitorizan de cerca los avisos de los fabricantes y actúan en ventanas muy reducidas», comenta Luis Cordero, CISO de una importante empresa energética. Asimismo, desde la comunidad de pentesters se alerta sobre la creciente sofisticación de los exploits, que ya incluyen módulos específicos en frameworks como **Cobalt Strike** y **Metasploit**, facilitando ataques automatizados a gran escala.
—
### Implicaciones para Empresas y Usuarios
El incidente pone de manifiesto la necesidad de reforzar los procesos de gestión de vulnerabilidades y de revisión continua de la superficie de exposición. Empresas sujetas a GDPR y NIS2 deben considerar la notificación a las autoridades competentes ante la sospecha de acceso no autorizado, dado el potencial impacto sobre datos personales y servicios esenciales.
Para los usuarios finales, la recomendación es exigir transparencia a sus proveedores de servicios gestionados (MSP) sobre las políticas de actualización y supervisión de dispositivos críticos.
—
### Conclusiones
La explotación activa de la vulnerabilidad CVE-2023-27997 en FortiCloud SSO evidencia que incluso soluciones de seguridad perimetral pueden convertirse en vectores de ataque si no se gestionan correctamente los parches y la configuración. El sector debe reforzar la vigilancia proactiva, la segmentación de redes y la revisión periódica de los controles de acceso para mitigar el riesgo de nuevos ataques basados en el error humano o en fallos de software.
(Fuente: www.bleepingcomputer.com)