Fortinet ha comenzado a publicar actualizaciones de seguridad para abordar una falla crítica que afecta a FortiOS y que ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, asignada al identificador CVE. CVE-2026-24858 (Puntuación CVSS: 9,4), se ha descrito como una omisión de autenticación relacionada con el inicio de sesión único (SSO) de FortiOS. La falla también afecta a FortiManager y FortiAnalyzer. La compañía dijo que continúa investigando si otros productos, incluidos FortiWeb y FortiSwitch Manager, se ven afectados por la falla.
«Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo (CWE-288) en FortiOS, FortiManager, FortiAnalyzer puede permitir que un atacante con una cuenta de FortiCloud y un dispositivo registrado inicie sesión en otros dispositivos registrados en otras cuentas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos», dijo Fortinet en un aviso publicado el martes.
Vale la pena señalar que la función de inicio de sesión SSO de FortiCloud no está habilitada en la configuración predeterminada de fábrica. Solo se activa en escenarios en los que un administrador registra el dispositivo en FortiCare desde la GUI del dispositivo, a menos que haya tomado medidas para alternar explícitamente el interruptor «Permitir inicio de sesión administrativo usando FortiCloud SSO».
El desarrollo se produce días después de que Fortinet confirmara que actores de amenazas no identificados estaban abusando de una «nueva ruta de ataque» para lograr inicios de sesión SSO sin requerir ninguna autenticación. Se abusó del acceso para crear cuentas de administrador local para la persistencia, realizar cambios de configuración que otorgan acceso VPN a esas cuentas y filtrar esas configuraciones de firewall.
Durante la semana pasada, el proveedor de seguridad de red dijo que ha tomado las siguientes medidas:
- Se bloquearon dos cuentas maliciosas de FortiCloud (cloud-noc@mail.io y cloud-init@mail.io) el 22 de enero de 2026.
- Se deshabilitó el SSO de FortiCloud en el lado de FortiCloud el 26 de enero de 2026.
- Se volvió a habilitar FortiCloud SSO el 27 de enero de 2026, pero se deshabilitó la opción de iniciar sesión desde dispositivos que ejecutan versiones vulnerables.
En otras palabras, los clientes deben actualizar a las últimas versiones del software para que funcione la autenticación SSO de FortiCloud. Fortinet también insta a los usuarios que detecten signos de compromiso a que traten sus dispositivos como si estuvieran vulnerados y recomienda las siguientes acciones:
- Asegúrese de que el dispositivo esté ejecutando la última versión del firmware
- Restaurar la configuración con una versión limpia conocida o auditar cualquier cambio no autorizado
- Rotar las credenciales, incluidas las cuentas LDAP/AD que puedan estar conectadas a los dispositivos FortiGate
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar CVE-2026-24858 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), ordenando a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remedien los problemas antes del 30 de enero de 2026.