Ciberdelincuentes explotan vulnerabilidades críticas en Fortinet FortiGate días después de su divulgación
Introducción
Apenas una semana después de que se hicieran públicas dos graves vulnerabilidades en los dispositivos FortiGate de Fortinet, actores maliciosos han iniciado campañas activas de explotación. La multinacional de ciberseguridad Arctic Wolf ha confirmado intrusiones en entornos productivos el 12 de diciembre de 2025, aprovechando sendos fallos de autenticación que afectan a las funcionalidades de Single Sign-On (SSO) de estos appliances. Las vulnerabilidades, identificadas como CVE-2025-59718 y CVE-2025-59719, sitúan a miles de organizaciones ante un riesgo real de acceso no autorizado y exfiltración de datos.
Contexto del Incidente
FortiGate es una de las soluciones de firewall de próxima generación más implantadas en entornos corporativos, con numerosas funciones de seguridad perimetral y gestión de acceso remoto. La relevancia de la plataforma la convierte en un objetivo prioritario para amenazas avanzadas (APT) y cibercriminales, especialmente cuando se divulgan fallos críticos antes de que las organizaciones puedan aplicar los correspondientes parches.
El incidente actual se produce en un contexto de incremento global de ataques dirigidos a dispositivos de seguridad perimetral, aprovechando vulnerabilidades de día cero y debilidades en la gestión de actualizaciones. El escaso margen temporal entre la publicación de los fallos y su explotación activa subraya la necesidad de monitorizar continuamente los equipos expuestos y agilizar los procesos de gestión de vulnerabilidades.
Detalles Técnicos
Las vulnerabilidades CVE-2025-59718 y CVE-2025-59719 afectan a las versiones de FortiOS que implementan funcionalidades de autenticación Single Sign-On (SSO), un mecanismo ampliamente utilizado para facilitar el acceso corporativo y federar identidades. Ambos fallos permiten la elusión del proceso de autenticación, posibilitando que un atacante obtenga acceso privilegiado a la administración del appliance y a los recursos protegidos por el cortafuegos.
– **CVE-2025-59718**: Se trata de un bypass de autenticación causado por una validación inadecuada de los tokens de SSO, permitiendo la autenticación con un token manipulado o no válido.
– **CVE-2025-59719**: Permite la omisión completa del proceso de autenticación mediante la explotación de un endpoint vulnerable en el flujo de SSO, facilitando el acceso sin credenciales válidas.
Ambos fallos han sido catalogados con una severidad crítica (CVSSv3 superior a 9.0) y afectan, según el aviso de Fortinet, a las versiones FortiOS 7.2.x y 7.4.x, ampliamente desplegadas tanto en grandes empresas como en pymes.
Los actores maliciosos están utilizando técnicas del framework MITRE ATT&CK, principalmente T1078 (Valid Accounts) y T1190 (Exploit Public-Facing Application), y han logrado acceso inicial mediante la explotación remota del servicio HTTPS expuesto. Se han identificado indicios de compromiso (IoC) como accesos sospechosos desde IPs anómalas, logs de autenticación fallida y la presencia de shells web temporales. No se descarta el uso de frameworks automatizados como Metasploit para la explotación, así como la posterior implantación de Cobalt Strike para persistencia y movimiento lateral.
Impacto y Riesgos
El impacto potencial de estas vulnerabilidades es elevado, ya que permite a los atacantes tomar control total del dispositivo FortiGate, desactivar políticas de seguridad, interceptar tráfico cifrado, crear cuentas persistentes y pivotar hacia otros sistemas internos. Según estimaciones de Arctic Wolf, más del 15% de los appliances FortiGate expuestos a Internet podrían ser vulnerables si no han sido actualizados.
El riesgo se incrementa exponencialmente dado que estos dispositivos suelen ser el primer punto de entrada a la red corporativa y, en muchos casos, gestionan accesos VPN y segmentaciones críticas. La explotación exitosa puede derivar en robo de credenciales, exfiltración de información confidencial y despliegue de ransomware.
Medidas de Mitigación y Recomendaciones
Fortinet ha publicado parches de seguridad para las versiones afectadas (7.2.7 y 7.4.3 en adelante), por lo que la actualización inmediata resulta prioritaria. Otras medidas recomendadas incluyen:
– Revisar y monitorizar logs de autenticación y acceso administrativo.
– Restringir el acceso externo a la interfaz de administración mediante listas blancas de IP y VPN.
– Implementar autenticación multifactor (MFA) en todos los accesos privilegiados.
– Utilizar mecanismos de detección de anomalías para identificar patrones inusuales en el tráfico de SSO.
– Desplegar reglas de detección específicas en el SIEM y herramientas EDR orientadas a los IoC publicados.
Opinión de Expertos
Diversos analistas del sector, como los integrantes de la comunidad SANS y consultores independientes, han advertido sobre la rapidez con la que los actores de amenazas están aprovechando vulnerabilidades en dispositivos perimetrales. “El ciclo de vida de la explotación se ha reducido a días, lo que obliga a las empresas a adoptar modelos de parcheo mucho más ágiles y a reforzar la monitorización proactiva”, señala Marta Ríos, CISO de una multinacional tecnológica.
Implicaciones para Empresas y Usuarios
Para las empresas, la explotación de estas vulnerabilidades supone un riesgo no solo técnico sino regulatorio, especialmente en el marco del RGPD y la inminente entrada en vigor de la directiva NIS2 en la Unión Europea, que exige una gestión proactiva de la ciberseguridad en infraestructuras críticas. El incumplimiento puede traducirse en sanciones millonarias y graves repercusiones reputacionales.
Los usuarios finales pueden verse afectados por interrupciones del servicio, filtración de datos personales o sabotaje de infraestructuras críticas.
Conclusiones
El caso de las vulnerabilidades CVE-2025-59718 y CVE-2025-59719 en FortiGate pone de manifiesto la importancia de una gestión eficaz de vulnerabilidades y la necesidad de monitorizar constantemente los dispositivos de seguridad perimetral. La ventana temporal entre divulgación y explotación es cada vez menor, lo que exige un cambio de enfoque en los procesos de actualización, supervisión y respuesta ante incidentes.
(Fuente: feeds.feedburner.com)