CSIRT Panamá Aviso 2026-Ene-27 – Fortinet (FG‑IR‑26‑060)
Fecha de publicación: 30 de enero de 2026
Última revisión: 30 de enero de 2026
Gravedad: Critico
Sistema Afectados: FortiAnalyzer 7.0.0 – 7.6.5. FortiManager 7.0.0 – 7.6.5, FortiOS 7.0.0 – 7.2.12, FortiProxy 7.0.0 – 7.6.4, FortiWeb 7.4.0 – 8.0.3.
I. Descripción
Fortinet ha identificado una vulnerabilidad crítica de bypass de autenticación en FortiCloud Single Sign‑On (SSO) que permite a un atacante con una cuenta FortiCloud válida y un dispositivo registrado autenticarse con privilegios administrativos en otros dispositivos asociados a cuentas FortiCloud distintas, siempre que la funcionalidad FortiCloud SSO esté habilitada.
La falla, clasificada como Authentication Bypass Using an Alternate Path or Channel (CWE‑288), rompe el aislamiento entre cuentas en el flujo de SSO y no requiere credenciales del dispositivo objetivo, lo que puede derivar en la toma completa del sistema, incluyendo creación de cuentas persistentes y extracción de configuraciones sensibles. La vulnerabilidad afecta a varios productos de Fortinet, entre ellos FortiOS, FortiManager, FortiAnalyzer y FortiProxy, y fue explotada activamente antes de la aplicación de medidas de contención para versiones vulnerables.
II. Detalle
La vulnerabilidad, identificada como CVE‑2026‑24858, se manifiesta específicamente cuando FortiCloud SSO está habilitado, permitiendo la omisión de los controles de autenticación administrativa mediante un flujo alternativo de inicio de sesión. Si bien esta funcionalidad no se encuentra habilitada por defecto, puede activarse durante el proceso de registro del dispositivo en FortiCare si el administrador no deshabilita explícitamente dicha opción, exponiendo el entorno sin una configuración consciente.
Tras detectar explotación activa en entornos reales, Fortinet deshabilitó temporalmente FortiCloud SSO a nivel de servicio y, al restablecerlo, bloqueó los inicios de sesión desde versiones vulnerables, requiriendo la actualización a versiones corregidas para mantener el uso del servicio.
A continuación, se resumen los productos y versiones afectados por esta vulnerabilidad y las ramas para las que Fortinet ha publicado correcciones o rutas de actualización:
Dispositivos afectados y vulnerabilidades
| Producto | Versiones vulnerables | Notas sobre correcciones |
| FortiOS | 7.6.0 – 7.6.5, 7.4.0 – 7.4.10, 7.2.0 – 7.2.12, 7.0.0 – 7.0.18 | Actualizaciones disponibles o programadas para versiones superiores a las listadas. |
| FortiManager | 7.6.0 – 7.6.5, 7.4.0 – 7.4.9, 7.2.0 – 7.2.11, 7.0.0 – 7.0.15 | Versiones parcheadas posteriores a las afectadas deben aplicarse. |
| FortiAnalyzer | 7.6.0 – 7.6.5, 7.4.0 – 7.4.9, 7.2.0 – 7.2.11, 7.0.0 – 7.0.15 | Actualización recomendada a versiones corregidas superiores. |
| FortiProxy | 7.6.0 – 7.6.4, 7.4.0 – 7.4.12, todas 7.2.x y 7.0.x | Migrar o actualizar a versiones con corrección. |
III. Referencia a soluciones, herramientas e información
Solución recomendada:
Para mitigar la vulnerabilidad identificada, se recomienda actualizar el software afectado a las versiones corregidas publicadas por el fabricante:
| Versiones | Solución |
| FortiAnalyzer 7.6 | Actualizar a la versión 7.6.6 o superior |
| FortiAnalyzer 7.4 | Actualizar a la versión 7.4.10 o superior |
| FortiAnalyzer 7.2 | Actualizar a la próxima 7.2.12 o superior |
| FortiAnalyzer 7.0 | Actualizar a la próxima versión 7.0.16 o superior |
| FortiAnalyzer 6.4 | No aplicable |
| FortiManager 8.0 | No aplicable |
| FortiManager 7.6 | Actualizar a la versión 7.6.6 o superior |
| FortiManager 7.4 | Actualizar a la versión 7.4.10 o superior |
| FortiManager 7.2 | Actualizar a la próxima 7.2.12 o superior |
| FortiManager 7.0 | Actualizar a la próxima versión 7.0.16 o superior |
| FortiManager 6.4 | No aplicable |
| FortiOS 8.0 | No aplicable |
| FortiOS 7.6 | Actualizar a la versión 7.6.6 o superior |
| FortiOS 7.4 | Actualizar a la 7.4.11 o superior |
| FortiOS 7.2 | Actualizar a la próxima 7.2.13 o superior |
| FortiOS 7.0 | Actualizar a la próxima versión 7.0.19 o superior |
| FortiOS 6.4 | No aplicable |
| FortiProxy 7.6 | Actualizar a la próxima 7.6.6 o superior |
| FortiProxy 7.4 | Actualizar a la próxima 7.4.13 o superior |
| FortiProxy 7.2 | Actualizar a la próxima 7.2.16 o superior |
| FortiProxy 7.0 | Actualizar a la próxima 7.0.23 o superior |
| FortiWeb 8.0 | Actualizar a la próxima versión 8.0.4 o superior |
| FortiWeb 7.6 | Actualizar a la próxima 7.6.7 o superior |
| FortiWeb 7.4 | Actualizar a la próxima 7.4.12 o superior |
| FortiWeb 7.2 | No aplicable |
| FortiWeb 7.0 | No aplicable |
Solución temporal:
1. Qué hacer de inmediato
Tanto Fortinet como el CCN-CERT recomiendan como primera acción:
- Actualizar cuanto antes los equipos FortiOS, FortiManager, FortiAnalyzer y FortiProxy a las versiones corregidas indicadas en el aviso oficial.
- Revisar si el acceso mediante FortiCloud SSO está activado y asegurarse de que:
- esté desactivado, o
- solo se utilice en equipos ya actualizados.
Actualizar es la forma más segura de eliminar el riesgo.
2. Si no es posible actualizar de inmediato
Fortinet ya ha aplicado controles para impedir el uso de esta vulnerabilidad en equipos antiguos, por lo que no es obligatorio realizar cambios urgentes si la actualización no puede hacerse en ese momento.
Aun así, como medida de precaución adicional, se recomienda desactivar el acceso administrativo mediante FortiCloud SSO, siguiendo estos pasos sencillos:
- En FortiOS y FortiProxy
- Entrar a la Configuración del sistema.
- Buscar la opción “Permitir inicio de sesión administrativo usando FortiCloud SSO”.
- Cambiarla a Desactivado.
- En FortiManager y FortiAnalyzer
- Entrar a Configuración del Sistema.
- Acceder a SAML SSO.
- Desactivar “Permitir que los administradores inicien sesión con FortiCloud”.
Esta acción ayuda a reducir el riesgo mientras se planifica la actualización.
3. Revisión y monitoreo de seguridad
El CCN-CERT recomienda:
- Revisar los accesos administrativos recientes.
- Analizar los registros del sistema en busca de comportamientos inusuales.
- Activar los procedimientos de respuesta a incidentes si se detecta actividad sospechosa.
4. Indicadores de posible compromiso
Para apoyar la detección de actividad maliciosa, Fortinet publico los siguientes indicadores conocidos:
Cuentas SSO observadas en ataques
- cloud-noc@mail.io
- cloud-init@mail.io
- heltaylor.12@tutamail.com
- support@openmail.pro
Direcciones IP observadas
- 04.28.244.115
- 104.28.212.114
- 104.28.212.115
- 104.28.195.105
- 104.28.195.106
- 104.28.227.106
- 104.28.227.105
- 104.28.195.106
- 104.28.244.114
- 163.61.198.15
- 104.28.244.116
- 38.54.6.28
IPs adicionales observadas por un tercero:
- 37[.]1.209.19
- 217[.]119.139.50
Estos datos pueden usarse para verificar registros y sistemas de monitoreo.
Referencias:
CCN-CERT AL 01/26 Explotación activa de vulnerabilidad crítica en FortiCloud SSO. (s. f.). https://www.ccn-cert.cni.es/es/seguridad-al-dia/alertas-ccn-cert/13129-ccn-cert-al-01-26-explotacion-activa-de-vulnerabilidad-critica-en-forticloud-sso.html
PSIRT | FortiGuard Labs. (s. f.). FortiGuard Labs. https://www.fortiguard.com/psirt/FG-IR-26-06
IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: incidentes@cert.pa
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Key ID: 16F2B124