La empresa de ciberseguridad Arctic Wolf ha advertido sobre un “nuevo grupo de actividad maliciosa automatizada” que implica cambios de configuración no autorizados en los dispositivos Fortinet FortiGate.
La actividad, según la compañía, comenzó el 15 de enero de 2026, y añade que presenta similitudes con una campaña de diciembre de 2025 en la que se registraron inicios de sesión SSO maliciosos en los dispositivos FortiGate contra la cuenta de administrador desde diferentes proveedores de alojamiento, explotando las vulnerabilidades CVE-2025-59718 y CVE-2025-59719.
Ambas vulnerabilidades permiten eludir la autenticación de inicio de sesión SSO sin autenticación a través de mensajes SAML creados, cuando la función de inicio de sesión único (SSO) de FortiCloud está habilitada en los dispositivos afectados. Estas deficiencias impactan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager.
“Esta actividad involucró la creación de cuentas genéricas destinadas a la persistencia, cambios de configuración que otorgan acceso VPN a esas cuentas, así como la exfiltración de configuraciones de firewall”, declaró Arctic Wolf sobre el creciente grupo de amenazas.
Específicamente, esto implica la realización de inicios de sesión SSO maliciosos contra una cuenta maliciosa “cloud-init@mail.io” desde cuatro direcciones IP diferentes, tras lo cual los archivos de configuración del firewall se exportan a las mismas direcciones IP a través de la interfaz gráfica de usuario. La lista de direcciones IP de origen es la siguiente:
- 104.28.244[.]115
- 104.28.212[.]114
- 217.119.139[.]50
- 37.1.209[.]19
Además, se ha observado que los actores de amenazas crean cuentas secundarias, como “secadmin”, “itadmin”, “support”, “backup”, “remoteadmin” y “audit”, para la persistencia.
“Todos los eventos anteriores tuvieron lugar en cuestión de segundos, lo que indica la posibilidad de actividad automatizada”, añadió Arctic Wolf.
La divulgación coincide con una publicación en Reddit en la que varios usuarios informaron haber visto inicios de sesión SSO maliciosos en dispositivos FortiOS completamente parcheados, con un usuario afirmando que “el equipo de desarrollo de Fortinet ha confirmado que la vulnerabilidad persiste o no está solucionada en la versión 7.4.10”.
The Hacker News se ha puesto en contacto con Fortinet para solicitar comentarios y actualizaremos la noticia si recibimos respuesta. Mientras tanto, se recomienda deshabilitar la configuración “admin-forticloud-sso-login”.
