Desde el 15 de enero de 2026 se registra un aumento en la actividad maliciosa automatizada contra dispositivos firewall FortiGate, mediante accesos no autorizados con cambios en configuraciones, creación de cuentas persistentes y extracciones de datos sensibles. Estos eventos siguen incidentes de diciembre de 2025 relacionados con inicios de sesión SSO maliciosos tras la divulgación de vulnerabilidades críticas en Fortinet. Las detecciones están activas y se recomienda vigilancia continua.
CVE y severidad
| CVE ID | Descripción | Severidad | Productos afectados |
|---|---|---|---|
| CVE-2025-59718 | Bypass no autorizado de autenticación SAML SSO | Crítica | FortiOS, FortiWeb, FortiProxy |
| CVE-2025-59719 | Bypass no autorizado de autenticación SAML SSO | Crítica | FortiOS, FortiWeb, FortiSwitchManager |
Productos afectados
| Fabricante | Producto |
|---|---|
| Fortinet | FortiOS, FortiWeb, FortiProxy, FortiSwitchManager |
Solución
Aplicar las actualizaciones recomendadas por Fortinet según el aviso FG-IR-25-647 y deshabilitar temporalmente el inicio de sesión FortiCloud SSO en caso de sospecha.
Recomendaciones
Se sugiere priorizar la aplicación inmediata de parches oficiales, limitar el acceso a las interfaces de administración solo a redes internas confiables y revisar cuidadosamente los registros para detectar actividades sospechosas, además de restablecer todas las credenciales si hay indicios de compromiso.
Workarounds
Como medida temporal se recomienda desactivar el inicio de sesión FortiCloud SSO ejecutando los comandos: textconfig system global, set admin-forticloud-sso-login disable, y end.