**Nueva vulnerabilidad crítica en Fortinet (CVE-2026-35616) permite bypass de autenticación en dispositivos de seguridad**
—
### Introducción
Fortinet, uno de los proveedores líderes en soluciones de ciberseguridad para empresas y organismos públicos, vuelve a estar en el foco tras la publicación de una vulnerabilidad crítica que afecta a varios de sus dispositivos. La vulnerabilidad, identificada como CVE-2026-35616, permite la evasión de mecanismos de autenticación—un vector de ataque especialmente peligroso. El fallo ya está siendo explotado activamente, lo que incrementa significativamente el riesgo para organizaciones que aún no han aplicado las mitigaciones recomendadas.
—
### Contexto del Incidente o Vulnerabilidad
En los últimos años, Fortinet ha sido objeto de sucesivas vulnerabilidades que afectan a sus productos estrella, especialmente FortiOS y FortiGate, utilizados globalmente como cortafuegos y soluciones de acceso seguro. CVE-2026-35616 se suma a una preocupante tendencia de fallos críticos (como CVE-2023-27997 y CVE-2022-40684), muchos de ellos aprovechados previamente por actores de amenazas tanto estatales como cibercriminales.
La particularidad de este nuevo fallo reside en la posibilidad de saltarse los mecanismos de autenticación de los dispositivos afectados, permitiendo el acceso no autorizado a la interfaz de administración y a funciones críticas de red. Los primeros indicadores apuntan a un aumento de la actividad maliciosa dirigida a organizaciones que operan infraestructuras críticas, servicios financieros y proveedores de servicios gestionados (MSP).
—
### Detalles Técnicos
**Identificador:** CVE-2026-35616
**Gravedad:** Crítica (CVSS 9.8)
**Productos afectados:**
– FortiOS 7.2.0 a 7.2.5
– FortiOS 7.0.0 a 7.0.12
– FortiProxy 7.2.0 a 7.2.4
– Versiones anteriores sin soporte pueden ser vulnerables
El fallo reside en el manejo inadecuado de tokens de autenticación en la interfaz de administración web de los dispositivos. Un atacante remoto, sin necesidad de credenciales válidas, puede manipular parámetros HTTP específicos (por ejemplo, en cabeceras o cookies) para obtener acceso privilegiado.
**Vectores de ataque:**
– Acceso remoto a la interfaz de administración HTTP/HTTPS expuesta a Internet
– Abuso de sesiones no autenticadas para ejecutar comandos administrativos
– Explotación mediante scripts automatizados (se han identificado PoC públicos)
**TTPs (MITRE ATT&CK):**
– T1078 (Valid Accounts)
– T1190 (Exploit Public-Facing Application)
– T1021.001 (Remote Services: Remote Desktop Protocol)
– T1210 (Exploitation of Remote Services)
**Indicadores de Compromiso (IoC):**
– Accesos anómalos en logs de administración (sin sesión previa exitosa)
– Cambios no autorizados en la configuración
– Creación de cuentas administrativas inesperadas
– Comunicación con servidores de C2 mediante tráfico HTTPS sospechoso
Actualmente, se reporta la integración de exploits en frameworks como Metasploit, lo que facilita ataques automatizados y campañas de escaneo masivo.
—
### Impacto y Riesgos
La explotación de CVE-2026-35616 puede derivar en la toma de control total de los dispositivos Fortinet afectados, permitiendo a los atacantes modificar políticas de firewall, interceptar tráfico corporativo, desplegar malware o pivotar hacia otros sistemas internos. Incidentes recientes muestran un aumento del 30% en las actividades de escaneo y explotación contra dispositivos expuestos en menos de 72 horas tras la publicación de la vulnerabilidad.
En términos regulatorios, una brecha de este tipo puede suponer graves incumplimientos de GDPR y NIS2, especialmente para sectores regulados, pudiendo acarrear sanciones millonarias y daños reputacionales.
—
### Medidas de Mitigación y Recomendaciones
Fortinet ha lanzado actualizaciones de emergencia para las versiones afectadas. Se recomienda:
1. **Actualizar inmediatamente** a las versiones corregidas (FortiOS 7.2.6/7.0.13 o superior, FortiProxy 7.2.5 o superior).
2. **Restringir el acceso** a la interfaz de administración únicamente a segmentos de red internos o mediante VPN.
3. **Monitorizar logs** y buscar patrones de acceso no autorizados.
4. **Aplicar segmentación** y mínimos privilegios en redes de administración.
5. **Desplegar reglas IDS/IPS** específicas para detectar tráfico de explotación conocido.
6. **Realizar auditorías** de configuración y cuentas administrativas tras la actualización.
—
### Opinión de Expertos
Analistas de seguridad como Kevin Beaumont y equipos de respuesta como CERT-EU han advertido que la rápida explotación de vulnerabilidades en dispositivos perimetrales es ya una constante. Beaumont destaca: “La exposición de interfaces administrativas a Internet, especialmente en dispositivos críticos, supone el mayor riesgo actual para las organizaciones”. El equipo de Rapid7 ha confirmado la existencia de exploits funcionales y recomienda la desactivación inmediata de servicios innecesarios expuestos.
—
### Implicaciones para Empresas y Usuarios
La persistencia de fallos críticos en soluciones de seguridad perimetral evidencia la necesidad de adoptar modelos Zero Trust y estrategias de defensa en profundidad. Las empresas deben revisar no solo la actualización de software, sino también su arquitectura y políticas de acceso remoto. Los MSP y proveedores cloud, gestores de infraestructuras de cientos de clientes, son especialmente vulnerables a ataques en cadena derivados de este tipo de fallos.
—
### Conclusiones
CVE-2026-35616 representa una amenaza crítica para el ecosistema empresarial global, especialmente dado su nivel de explotación activa y la importancia de los dispositivos Fortinet en infraestructuras clave. La respuesta inmediata, el seguimiento de IoC y la revisión de las políticas de exposición de servicios de administración deben convertirse en prioridades absolutas para cualquier organización con dispositivos afectados. La tendencia de explotación de vulnerabilidades en soluciones de seguridad seguirá al alza, exigiendo una vigilancia constante y una rápida capacidad de respuesta.
(Fuente: www.darkreading.com)