Fortinet: actualización urgente por bypass crítico en FortiCloud SSO (FG-IR-25-647)
Crítico
CVSS 9.1
FG-IR-25-647
FortiCloud SSO
Actualización urgente en equipos Fortinet
Se reportaron vulnerabilidades críticas que pueden permitir a un atacante no autenticado eludir el inicio de sesión administrativo cuando está habilitado FortiCloud SSO (SAML).
1) Verifica si estás en riesgo
- Aplica si el equipo tiene habilitado el inicio de sesión administrativo con FortiCloud SSO.
- Revisa versión y producto (FortiOS / FortiProxy / FortiSwitchManager / FortiWeb).
Si tu administración está expuesta a Internet, el riesgo sube. Prioriza la actualización y el endurecimiento de acceso administrativo.
2) Acción recomendada
- Identificar el producto y versión.
- Actualizar a versión corregida.
- Validar accesos administrativos y revisar eventos.
- Reducir superficie de ataque (local-in policy, fuentes permitidas, MFA, etc.).
Versiones afectadas y versiones corregidas (referencia rápida)
| Producto | Rango afectado | Actualizar a |
|---|---|---|
| FortiOS 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiOS 7.4 | 7.4.0 – 7.4.8 | 7.4.9+ |
| FortiOS 7.2 | 7.2.0 – 7.2.11 | 7.2.12+ |
| FortiOS 7.0 | 7.0.0 – 7.0.17 | 7.0.18+ |
| FortiProxy 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiProxy 7.4 | 7.4.0 – 7.4.10 | 7.4.11+ |
| FortiProxy 7.2 | 7.2.0 – 7.2.14 | 7.2.15+ |
| FortiProxy 7.0 | 7.0.0 – 7.0.21 | 7.0.22+ |
| FortiSwitchManager 7.2 | 7.2.0 – 7.2.6 | 7.2.7+ |
| FortiSwitchManager 7.0 | 7.0.0 – 7.0.5 | 7.0.6+ |
| FortiWeb 8.0 | 8.0.0 | 8.0.1+ |
| FortiWeb 7.6 | 7.6.0 – 7.6.4 | 7.6.5+ |
| FortiWeb 7.4 | 7.4.0 – 7.4.9 | 7.4.10+ |
Si no puedes actualizar de inmediato, deshabilitar temporalmente el login admin por FortiCloud SSO reduce la exposición mientras haces el cambio.
Endurecimiento recomendado: reducir superficie de ataque (local-in policy)
Aunque la corrección es actualizar, una medida efectiva es limitar el acceso administrativo (HTTPS/SSH) solo a IPs confiables. Esto se controla con local-in policy para el tráfico dirigido al propio firewall.
Buenas prácticas mínimas
- Administración solo desde IPs de gestión (oficina/VPN).
- Bloquear gestión desde WAN si no es necesaria.
- Separar una interfaz o VLAN de administración cuando aplique.
- Habilitar MFA donde sea posible.
Prioridad: Alta
Si tu equipo está en los rangos afectados y tienes FortiCloud SSO habilitado, la recomendación es actualizar cuanto antes y restringir administración. Si quieres, nosotros lo ejecutamos con una ventana de cambio corta y verificación posterior.