Descripcion de la vulnerabilidad
CVE-2026-24858 es una vulnerabilidad de bypass de autenticacion por ruta alternativa (CWE-288) que afecta a FortiOS, FortiManager, FortiAnalyzer, FortiProxy y potencialmente FortiWeb. El problema reside en el mecanismo de Single Sign-On (SSO) de FortiCloud: un atacante que posea una cuenta valida de FortiCloud con al menos un dispositivo registrado puede autenticarse en dispositivos FortiGate de otras organizaciones, obteniendo acceso administrativo completo.
Esta vulnerabilidad es particularmente grave porque fue explotada como zero-day antes de que existiera un parche. Multiples clientes de Fortinet reportaron que atacantes habian creado cuentas de administrador locales en sus firewalls, a pesar de estar ejecutando las versiones mas recientes de FortiOS disponibles en ese momento.
Nota importante: FortiCloud SSO no viene habilitado de fabrica. Sin embargo, se activa automaticamente cuando se registra un dispositivo en FortiCare a traves de la GUI, a menos que el administrador lo desactive explicitamente.
Productos y versiones afectadas
- FortiOS: 7.6.0 a 7.6.5 | 7.4.0 a 7.4.10 | 7.2.0 a 7.2.12 | 7.0.0 a 7.0.18
- FortiManager: 7.6.0 a 7.6.5 | 7.4.0 a 7.4.9 | 7.2.0 a 7.2.11 | 7.0.0 a 7.0.15
- FortiAnalyzer: 7.6.0 a 7.6.5 | 7.4.0 a 7.4.9 | 7.2.0 a 7.2.11 | 7.0.0 a 7.0.15
- FortiProxy: 7.6.0 a 7.6.4 | 7.4.0 a 7.4.12 | 7.2.x (todas) | 7.0.x (todas)
Impacto
Un atacante exitoso obtiene acceso de administrador al equipo FortiGate comprometido. Esto le permite:
- Crear cuentas de administrador locales adicionales para mantener persistencia
- Modificar reglas de firewall para abrir acceso a la red interna
- Extraer configuraciones que contienen credenciales, topologias de red y politicas de seguridad
- Desactivar funciones de seguridad como IPS, antivirus o web filtering
- Usarlo como punto de entrada para movimiento lateral dentro de la organizacion
Se ha confirmado explotacion activa en entornos reales. CISA (la agencia de ciberseguridad de Estados Unidos) emitio una alerta el 28 de enero de 2026 instando a todas las organizaciones a tomar medidas inmediatas.
Solucion recomendada
Actualizar a las siguientes versiones o superiores:
- FortiOS: 7.6.6, 7.4.11, 7.2.13 o 7.0.19
- FortiManager: 7.6.6, 7.4.10, 7.2.13 o 7.0.16
- FortiAnalyzer: 7.6.6, 7.4.10, 7.2.12 o 7.0.16
- FortiProxy: 7.6.6 o 7.4.13 (migrar desde 7.2 y 7.0)
Mitigacion temporal si no puede actualizar de inmediato:
- Fortinet desactivo temporalmente el SSO de FortiCloud a nivel de plataforma y lo restauro con restricciones: solo dispositivos con firmware parcheado pueden usar FortiCloud SSO.
- Deshabilitar FortiCloud SSO manualmente:
config system global→set admin-forticloud-sso-login disable→end - Auditar inmediatamente la lista de administradores locales en busca de cuentas no reconocidas
- Rotar credenciales de todas las cuentas LDAP/AD conectadas al FortiGate
- Restaurar la configuracion desde un backup limpio verificado