Múltiples fuentes de inteligencia de amenazas confirman explotación activa de dos vulnerabilidades críticas en Fortinet FortiGate —CVE-2025-59718 y CVE-2025-59719 (CVSS 9.8)— que permiten eludir la autenticación SAML SSO y acceder al plano administrativo sin credenciales, siempre que FortiCloud SSO esté habilitado.
Investigaciones recientes indican que los atacantes están priorizando dispositivos expuestos a Internet, ejecutando inicios de sesión maliciosos contra la cuenta admin, y exfiltrando configuraciones completas del firewall a infraestructura externa. Este comportamiento es consistente con fases tempranas de compromiso: reconocimiento, robo de secretos, preparación para persistencia y posible movimiento lateral.
Un punto crítico es el estado por defecto durante el registro en FortiCare: aunque FortiCloud SSO viene deshabilitado, puede activarse automáticamente si no se desmarca explícitamente la opción de inicio de sesión administrativo vía SSO. Esto ha ampliado la superficie de ataque en organizaciones que no revisaron ese ajuste tras el alta del equipo.
El impacto potencial es alto. Las configuraciones exportadas pueden contener hashes de credenciales, claves precompartidas, referencias a VPNs, reglas de acceso y topología interna. Con contraseñas débiles, los hashes pueden ser crackeados offline, habilitando accesos posteriores aun después de aplicar parches si no se rotan credenciales.
Fortinet ya publicó correcciones para FortiOS, FortiWeb, FortiProxy y FortiSwitchManager. La recomendación inmediata es parchear, deshabilitar FortiCloud SSO hasta completar la actualización, restringir el acceso a las interfaces de administración (allowlist de IPs internas, MFA cuando aplique) y asumir compromiso si existen IoCs: rotar todas las credenciales, revisar logs de SSO/GUI y validar integridad de la configuración.
Multiple threat intelligence sources confirm active exploitation of two critical vulnerabilities in Fortinet FortiGate —CVE-2025-59718 and CVE-2025-59719 (CVSS 9.8)— enabling SAML SSO authentication bypass and credential-less access to the administrative plane when FortiCloud SSO is enabled.
Recent investigations show attackers targeting internet-exposed devices, performing malicious logins against the admin account and exporting full firewall configurations to external infrastructure. This aligns with early-stage compromise patterns: reconnaissance, secret harvesting, persistence setup, and preparation for lateral movement.
A key risk factor is FortiCare registration behavior. While FortiCloud SSO is disabled by default, it can be automatically enabled unless administrators explicitly disable administrative login via SSO during registration, unintentionally expanding the attack surface.
The potential impact is significant. Exported configurations may include credential hashes, pre-shared keys, VPN references, access rules, and internal topology. Weak passwords increase the likelihood of offline hash cracking, allowing follow-on access even after patching if credentials are not rotated.
Fortinet has released fixes for FortiOS, FortiWeb, FortiProxy, and FortiSwitchManager. Immediate actions include patching, disabling FortiCloud SSO until updates are complete, locking down management interfaces (IP allowlisting, MFA where supported), and assuming compromise when IoCs are present: rotate credentials, review SSO/GUI logs, and validate configuration integrity.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
