VOLVER A NOTICIAS
Última Hora

Fortinet Advierte sobre Explotación Activa que Elude la Autenticación SSO de FortiCloud

3 min de lecturaFuente: SecurityWeek

Fortinet confirma la explotación activa de una vulnerabilidad en FortiCloud SSO que permite a atacantes eludir controles de autenticación, incluso en dispositivos parcheados.

Fortinet Confirma Explotación Activa de Vulnerabilidad que Elude la Autenticación SSO de FortiCloud

Fortinet ha confirmado que actores de amenazas están explotando activamente una vulnerabilidad en su sistema de autenticación de inicio de sesión único (SSO) de FortiCloud, permitiendo a los atacantes eludir los controles de autenticación, incluso en dispositivos que han recibido parches de seguridad.

La compañía emitió la advertencia tras informes de ataques en curso dirigidos al mecanismo de inicio de sesión de FortiCloud SSO. Aunque Fortinet aún no ha revelado detalles técnicos específicos sobre la vulnerabilidad, la explotación parece reflejar fallos recientes de elusión de autenticación en productos Fortinet.

Detalles Técnicos y Vector de Ataque

Hasta el momento, Fortinet no ha publicado un identificador CVE para esta vulnerabilidad. Sin embargo, investigadores en ciberseguridad señalan que el vector de ataque se asemeja a fallos previamente divulgados en FortiCloud SSO, los cuales suelen involucrar:

  • Manipulación de tokens de autenticación o mecanismos de manejo de sesiones
  • Explotación de validación de entrada incorrecta en solicitudes de inicio de sesión SSO
  • Elusión de protecciones de autenticación multifactor (MFA)

El hecho de que los dispositivos parcheados sigan siendo vulnerables sugiere:

  1. Una nueva vulnerabilidad no parcheada en la implementación de SSO, o
  2. Que los atacantes están aprovechando configuraciones incorrectas o debilidades residuales en fallos previamente mitigados.

Análisis de Impacto

La explotación exitosa de esta vulnerabilidad podría permitir a atacantes no autenticados:

  • Obtener acceso no autorizado a interfaces de gestión de Fortinet
  • Escalar privilegios dentro del entorno de FortiCloud
  • Moverse lateralmente a través de dispositivos y servicios Fortinet conectados
  • Exfiltrar datos sensibles o desplegar cargas maliciosas adicionales

Dada la amplia adopción de Fortinet en redes empresariales y gubernamentales, esta vulnerabilidad representa un riesgo significativo para las organizaciones que dependen de FortiCloud para la autenticación centralizada y la gestión de dispositivos.

Mitigación y Recomendaciones

Fortinet aún no ha lanzado un parche oficial ni un aviso para esta vulnerabilidad específica. No obstante, se recomienda a los equipos de seguridad:

  1. Monitorear los avisos del PSIRT de Fortinet para actualizaciones y orientación oficial (Fortinet PSIRT).
  2. Revisar los registros de acceso de FortiCloud en busca de intentos de autenticación sospechosos o actividad anómala.
  3. Aplicar una segmentación de red estricta para limitar el movimiento lateral en caso de una brecha.
  4. Implementar controles de autenticación adicionales, como listas blancas de IP o políticas de acceso condicional, para FortiCloud SSO.
  5. Considerar deshabilitar temporalmente FortiCloud SSO si es factible, y aplicar autenticación manual hasta que se disponga de un parche.

SecurityWeek continuará monitoreando esta situación en desarrollo y proporcionará actualizaciones a medida que surjan más detalles técnicos.

Reportaje original de Ionut Arghire para SecurityWeek.

Compartir

TwitterLinkedIn