Vulnerabilidad crítica en FortiGate SAML SSO sigue explotable pese al parche de diciembre

Fortinet confirmó que una vulnerabilidad crítica en FortiGate SAML SSO continúa siendo explotable pese al parche publicado en diciembre, después de que clientes detectaran inicios de sesión inesperados en dispositivos que supuestamente estaban completamente actualizados. La compañía sostiene que ha identificado una nueva vía de ataque para abusar de implementaciones de SSO basadas en SAML en FortiOS, lo que eleva el riesgo operativo para organizaciones que dependen de SSO en entornos de perímetro y acceso remoto.

La admisión llega tras reportes de actividad maliciosa en firewalls FortiGate donde los atacantes, aprovechando cuentas SSO comprometidas, habrían modificado configuraciones, creado usuarios administradores con fines de persistencia y extraído archivos de configuración. En una campaña observada por Arctic Wolf, los actores habrían automatizado acciones como el alta de cuentas con VPN y la exfiltración de configuración en cuestión de segundos, un patrón que apunta más a tooling y orquestación que a intrusiones manuales.

Impacto: la vulnerabilidad crítica en FortiGate SAML SSO no se limita a FortiCloud

Según la declaración de Carl Windsor, CISO de Fortinet, los incidentes recientes se parecen al problema previo, pero en las últimas 24 horas identificaron casos en los que la explotación afectó a dispositivos con la versión más reciente disponible en el momento del ataque, lo que sugiere un vector alternativo. Fortinet matiza además que, aunque por ahora solo se ha observado explotación a través de FortiCloud SSO, la debilidad es aplicable a “todas las implementaciones de SAML SSO”, ampliando el alcance potencial del riesgo más allá de un único servicio.

La compañía no ha publicado todavía detalles técnicos sobre la nueva ruta de explotación y afirma que la investigación sigue abierta. En paralelo, prepara un nuevo fix para remediar esta ocurrencia y comunicará el alcance y el timeline cuando estén disponibles.

Contexto operativo: intrusiones silenciosas y cambios de configuración

La campaña descrita por firmas de seguridad se caracteriza por intrusiones “silenciosas” y rápidas: cambios de configuración del firewall, creación de usuarios con privilegios administrativos y extracción de configuraciones. En infraestructuras donde FortiGate actúa como componente crítico del perímetro, este tipo de acciones puede habilitar persistencia, desviar tráfico, debilitar políticas de acceso o preparar la red para movimientos posteriores.

Qué reconoce Fortinet y qué se sabe hasta ahora

• Fortinet confirma explotación activa pese a la aplicación del parche de diciembre en algunos entornos.
• La empresa afirma haber identificado una nueva vía de ataque vinculada al abuso de SAML SSO en FortiOS.
• Por el momento, la explotación observada se asocia a FortiCloud SSO, pero el problema sería aplicable a otras implementaciones SAML SSO.
• No se han publicado detalles técnicos del vector alternativo mientras continúa la investigación.

Fuentes y comunicaciones oficiales

Fortinet publicó un análisis y recomendaciones en su canal oficial de PSIRT, donde describe el abuso de SSO y confirma la existencia del nuevo attack path: Fortinet PSIRT Blog. La información fue reportada inicialmente por The Register en su cobertura del incidente: The Register.

Mientras se espera un nuevo parche, la situación deja a los equipos de seguridad en un estado de vigilancia reforzada y respuesta acelerada ante anomalías de autenticación. Para el sector, la relevancia inmediata es clara: cuando una vulnerabilidad crítica en FortiGate SAML SSO permanece explotable tras un parche, el riesgo no es solo técnico, sino de confianza en la cadena de mitigación y en los controles de identidad que protegen el plano de administración.

Fortinet afirma que trabaja en una corrección adicional, pero hasta que exista un fix definitivo, la vulnerabilidad crítica en FortiGate SAML SSO seguirá en el centro de la atención de SOC y responsables de infraestructura por su potencial para habilitar accesos no autorizados y cambios de configuración de alto impacto en el perímetro.