Han saltat les alarmes al sector de la ciberseguretat. S’acaba de conèixer que diversos tallafocs FortiGate han estat compromesos malgrat disposar dels pedaços oficials instal·lats.

El cas resulta especialment delicat perquè afecta dispositius que, en teoria, estaven protegits.

Diversos administradors han detectat accessos no autoritzats en equips que executaven versions ja corregides, cosa que apunta a una explotació activa i sofisticada.

La bretxa es vincula a la vulnerabilitat identificada com a CVE-2025-59718, relacionada amb l’evasió de mecanismes d’autenticació en entorns FortiGate, i que ara torna a situar la marca al centre del focus mediàtic i tècnic.

Un pedaç insuficient i atacs en entorns actualitzats

Segons han confirmat diversos afectats, l’actualització llançada inicialment per corregir la sentència no ha estat suficient.

Fortinet havia distribuït el desembre la versió 7.4.9 de FortiOS com a solució a la vulnerabilitat, i posteriorment la 7.4.10, però els incidents recents demostren que el vector d’atac continuava essent operatiu.

Administradors de sistemes han informat d’accessos maliciosos, fins i tot amb aquestes versions instal·lades, cosa que ha generat dubtes sobre la integritat del procés de correcció.

Un dels casos documentats assenyala que un atacant va aconseguir crear un compte administratiu mitjançant un accés SSO fals, fent servir credencials generades des d’una adreça IP externa.

Els registres mostren patrons idèntics als observats en atacs previs, cosa que reforça la tesi que la fallada segueix sent explotable.

L’activitat va ser detectada per sistemes de monitoratge interns, que van alertar de la creació d’usuaris amb privilegis elevats sense intervenció humana.

Fortinet reconeix el problema i prepara versions noves

Davant la pressió creixent, Fortinet ha confirmat internament que la vulnerabilitat no va quedar completament resolta a les versions anteriors.

L’empresa ja treballa en noves actualitzacions, entre les quals FortiOS 7.4.11, 7.6.6 i 8.0.0, que haurien de corregir definitivament la fallada d’autenticació. Mentrestant, recomana als clients que apliquin mesures de mitigació temporal per reduir el risc d’intrusió.

Entre aquestes mesures hi ha la desactivació de l’inici de sessió SSO de FortiCloud, una funcionalitat que, encara que no està habilitada per defecte, sí que estava activa en milers de dispositius exposats a Internet.

Aquesta característica ha estat identificada com un dels vectors principals utilitzats pels atacants per obtenir accés administratiu sense necessitat de credencials vàlides.

Una superfície d’atac més gran del que s’esperava

Les dades recopilades per organitzacions de monitoratge revelen que l’impacte podria ser considerable.

A mitjans de desembre, es van detectar més de 25.000 dispositius FortiGate accessibles des de la xarxa amb el servei vulnerable habilitat. Encara que una part ja ha estat assegurada, encara hi ha milers d’equips exposats, cosa que amplia el risc de nous compromisos.

La situació ha fet que l’Agència de Ciberseguretat dels Estats Units inclogui aquesta vulnerabilitat a la llista de fallades activament explotades.

L’ordre emesa obliga les agències federals a aplicar les correccions en un termini màxim d’una setmana, cosa que dona una idea de la gravetat del problema i del nivell d’amenaça que representa.

Un patró que es repeteix a l’ecosistema de seguretat

El cas de Fortinet no és aïllat. En els darrers mesos s’ha observat un increment notable d’atacs dirigits a dispositius de seguretat perimetral, especialment aquells que gestionen autenticació, accés remot o filtratge de trànsit.

Els ciberdelinqüents busquen aquests punts perquè ofereixen un accés privilegiat a xarxes corporatives completes.

A més, els experts adverteixen que els grups delinqüents estan aprofitant cada cop més els retards entre la publicació dels pedaços i la seva aplicació real en entorns empresarials.

Fins i tot quan els sistemes s’actualitzen, com ha passat en aquest cas, la complexitat del programari i la rapidesa dels atacs fan que les fallades persisteixin més temps del desitjat.