Introducción
Este blog presenta un análisis técnico de CVE-2025-59718 y CVE-2025-59719, dos vulnerabilidades críticas que permiten eludir la autenticación y que afectan a varios productos de Fortinet cuando el inicio de sesión único (SSO) de FortiCloud está habilitado.
Ambas vulnerabilidades se deben a una verificación incorrecta de las firmas criptográficas (CWE-347) durante el procesamiento de las respuestas SAML. En determinadas condiciones, una respuesta SAML manipulada podría aceptarse como válida, lo que permitiría a un atacante no autenticado eludir la autenticación SSO de FortiCloud.
En el momento en que se llevó a cabo esta investigación, la información técnica pública era limitada y no se disponía de ninguna prueba de concepto verificable de forma independiente que demostrara una explotación real. OPSWAT 515 OPSWAT realizó un análisis en profundidad para determinar si estas vulnerabilidades podían explotarse en la práctica y para evaluar su impacto en el mundo real.
Alcance de la vulnerabilidad e impacto técnico
Las vulnerabilidades CVE-2025-59718 y CVE-2025-59719 afectan a varios productos de Fortinet, entre ellos FortiOS, FortiWeb, FortiProxy y FortiSwitchManager, cuando se utiliza el inicio de sesión único (SSO) de FortiCloud para la autenticación administrativa.
La causa principal de ambas vulnerabilidades es una verificación incorrecta de las firmas criptográficas (CWE-347) durante el procesamiento de las respuestas SAML. Como consecuencia, en determinadas condiciones, las respuestas SAML malformadas o manipuladas pueden procesarse como datos de autenticación legítimos.
Cuando FortiCloud SSO está habilitado, esta vulnerabilidad puede dar lugar a una elusión total de la autenticación. Si se aprovecha con éxito, permite a un atacante no autenticado acceder a las interfaces administrativas protegidas sin disponer de credenciales válidas. Dependiendo de la configuración de la implementación y de la exposición del acceso, esto puede acabar provocando el compromiso total del dispositivo afectado.
Según el aviso publicado por FortiGuard Labs, estas vulnerabilidades se identificaron internamente. En el momento de la publicación, no se revelaron públicamente los detalles sobre los mecanismos de explotación ni los flujos de trabajo prácticos de los ataques.
Evaluación de las reclamaciones por explotación pública
Tras la divulgación, varios repositorios públicos y entradas de blogs técnicos afirmaron ofrecer exploits de prueba de concepto para CVE-2025-59718 y CVE-2025-59719. Para evaluar con precisión la explotabilidad real de estas vulnerabilidades, la Unidad 515 llevó a cabo una revisión sistemática y una validación práctica de los materiales disponibles públicamente en un entorno controlado.
Los materiales analizados incluían varios repositorios de GitHub que pretendían demostrar que era posible eludir la autenticación mediante respuestas SAML manipuladas en dispositivos Fortinet. Sin embargo, durante la validación técnica, la Unidad 515 determinó que estas implementaciones no funcionaban .
En concreto, nuestro análisis reveló que los PoC publicados:
- No se consigue eludir la autenticación SSO de FortiCloud
- Se basa en supuestos que no reflejan el comportamiento real del procesamiento SAML en los productos afectados
- No se ha podido establecer una sesión autenticada válida o un acceso administrativo
En consecuencia, ninguna de las demostraciones de concepto (PoC) disponibles públicamente fue capaz de aprovechar las vulnerabilidades CVE-2025-59718 o CVE-2025-59719 en la práctica.
Validación técnica independiente realizada por Unit 515
Dada la gravedad crítica asignada a CVE-2025-59718 y CVE-2025-59719, y ante la ausencia de cualquier explotación pública verificada, OPSWAT 515 OPSWAT llevó a cabo una investigación técnica independiente para determinar si estas vulnerabilidades podían explotarse en la práctica en condiciones reales.
Las pruebas se llevaron a cabo en un entorno de laboratorio controlado utilizando dispositivos Fortinet afectados configurados con FortiCloud SSO para la autenticación administrativa. La investigación se centró en analizar la lógica de gestión de respuestas SAML, el comportamiento de la verificación de firmas y los supuestos de confianza realizados durante el flujo de autenticación.
Gracias a esta investigación, la Unidad 515 logró reproducir de forma fiable el comportamiento vulnerable y confirmar que una verificación criptográfica insuficiente durante el procesamiento de SAML puede, en determinadas condiciones, aprovecharse para eludir los controles de autenticación. El comportamiento resultante demuestra que las vulnerabilidades no son teóricas y que pueden explotarse de forma repetible cuando se dan las condiciones necesarias.
Esta validación confirma que CVE-2025-59718 y CVE-2025-59719 constituyen vulnerabilidades reales que permiten eludir la autenticación y que tienen un impacto significativo en la seguridad, y no se trata de fallos de implementación en casos excepcionales.
Declaración sobre investigación responsable
Todas las pruebas se llevaron a cabo exclusivamente en nuestros entornos aislados y no productivos con fines de investigación defensiva. No se vieron afectados los sistemas de los clientes ni los entornos externos.
Recomendación
Medidas de mitigación de Fortinet
En diciembre de 2025, Fortinet publicó el aviso de FortiGuard FG-IR-25-647, en el que se abordaban dos vulnerabilidades de elusión de la autenticación de FortiCloud Single Sign-On (SSO), CVE-2025-59718 y CVE-2025-59719. Como parte de la respuesta inicial, Fortinet proporcionó versiones actualizadas del firmware para todas las familias de productos afectadas y aconsejó a los clientes que actualizaran los dispositivos afectados y revisaran las configuraciones de acceso administrativo relacionadas con el SSO de FortiCloud.
A finales de enero de 2026, Fortinet recibió informes de un número reducido de clientes en los que se describía una actividad de inicio de sesión administrativa inesperada que se asemejaba mucho al problema abordado anteriormente. Cabe destacar que varios de los sistemas afectados ya ejecutaban el firmware más reciente disponible en ese momento, lo que indica que el comportamiento observado se debía a una vía de ataque distinta, y no a una corrección incompleta de las vulnerabilidades originales.
Tras una investigación más exhaustiva, Fortinet identificó una vulnerabilidad que permitía eludir la autenticación mediante una ruta o canal alternativo (CWE-288) y que afectaba a varios productos cuando la autenticación SSO de FortiCloud estaba habilitada. A este problema se le asignó el identificador CVE-2026-24858 y se documentó en el aviso de FortiGuard FG-IR-26-060.
Para mitigar este riesgo recientemente identificado, Fortinet ha publicado actualizaciones de firmware adicionales y ha aplicado medidas de control más estrictas a nivel del servicio FortiCloud. A partir del 27 de enero de 2026, la autenticación SSO de FortiCloud solo se permitirá para aquellos dispositivos que ejecuten versiones de firmware compatibles y actualizadas, y que mantengan una suscripción activa a FortiCloud. A los dispositivos que no cumplan estos requisitos se les impedirá autenticarse a través de SSO de FortiCloud, lo que bloqueará de forma efectiva cualquier intento de explotación a través de las rutas de autenticación afectadas.
Estas medidas combinadas abordan tanto las vulnerabilidades de elusión del SSO de FortiCloud reveladas inicialmente como la ruta de autenticación alternativa identificada posteriormente, lo que reduce considerablemente el riesgo de acceso administrativo no autorizado a través del SSO de FortiCloud.
Solución de Firewall y diodo OPSWAT
Este tipo de ataque pone de manifiesto un riesgo arquitectónico crítico: cuando un cortafuegos se ve comprometido o burlado, ya no se puede confiar en él como barrera de seguridad. Una vez que esto ocurre, los atacantes pueden obtener acceso persistente a segmentos de red de confianza, y todos los sistemas protegidos únicamente por el cortafuegos quedan expuestos.
Los cortafuegos siguen siendo un componente esencial de la seguridad de la red, pero se trata de controles basados en software que funcionan partiendo de supuestos de confianza. Cuando esos supuestos fallan —ya sea por un uso indebido de la autenticación, por fallos lógicos o por canales de gestión comprometidos—, el cortafuegos puede facilitar involuntariamente los movimientos del atacante en lugar de impedirlos. En esta fase, el refuerzo de la seguridad y el ajuste de las políticas tradicionales ofrecen un valor limitado, ya que el propio perímetro ha sido vulnerado.
La importancia de una defensa en varias capas más allá del Firewall
Las arquitecturas de seguridad resilientes se basan en la premisa de que se producirá una brecha de seguridad. Los cortafuegos, los servicios de identidad y otros controles basados en software están todos sujetos a vulnerabilidades y fallos de confianza. Una vez que un cortafuegos se ve comprometido, cualquier sistema que dependa de él como único punto de control queda gravemente expuesto, independientemente de las medidas de refuerzo internas.
Para mitigar este riesgo, las organizaciones deben adoptar una estrategia de defensa en varias capas que incluya al menos un control capaz de contener una brecha de seguridad incluso después de que se haya derrumbado la barrera de confianza del cortafuegos. Esto requiere ir más allá de la aplicación basada en políticas y pasar al aislamiento físico.
Los diodos de datos como medida de seguridad determinista
Un diodo de datos impone un flujo de datos físicamente unidireccional, garantizando que la información solo pueda circular en una dirección, sin posibilidad de tráfico de retorno. A diferencia de los cortafuegos, que dependen de políticas de software, la gestión de sesiones y supuestos de confianza, un diodo de datos impone el aislamiento a nivel de hardware. La ruta de entrada no existe, lo que hace que el acceso remoto, la inyección de comandos y la comunicación inversa sean estructuralmente imposibles.
Este enfoque cambia radicalmente el modelo de seguridad. En lugar de intentar detectar o bloquear actividades maliciosas, el diodo de datos elimina por completo la vía de ataque. Incluso si los controles de la red de origen se ven comprometidos, no existe ningún mecanismo que permita a un atacante interactuar con los sistemas protegidos.
Optical DiodeMetaDefender : una solución integral de diodos de datos
Cuando las protecciones del cortafuegos ya no son suficientes para garantizar la segmentación, las organizaciones necesitan un mecanismo de control capaz de mantener los límites de seguridad independientemente de la aplicación de políticas o de la confianza bidireccional. El OPSWAT MetaDefender Optical Diode está diseñado para satisfacer esta necesidad, ofreciendo los más altos estándares de aislamiento de red, integridad de datos y cumplimiento normativo para entornos en los que el fallo no es una opción.
Diseñado para proteger contra las amenazas cibernéticas modernas dirigidas a infraestructuras críticas y entornos de tecnología operativa (OT), MetaDefender Optical Diode un mecanismo fiable para mantener la seguridad de las comunicaciones sin exponer las redes protegidas. En lugar de sustituir a los cortafuegos, los complementa al imponer un flujo de datos unidireccional físico, lo que garantiza que los sistemas críticos permanezcan aislados incluso si los controles perimetrales tradicionales se ven comprometidos.
Tras la reciente adquisición de FEND OPSWAT,Optical Diode MetaDefender abarca ahora todas las escalas de implementación y casos de uso, desde soluciones compactas para instalaciones remotas o periféricas hasta plataformas de alta capacidad para entornos industriales a gran escala. Ya sea para proteger una refinería, una central eléctrica, un centro de transporte, una planta de fabricación o un sistema de defensa, las organizaciones pueden implementar unOptical Diode MetaDefender Optical Diode para sus necesidades operativas.
Al combinar el aislamiento físico unidireccional con la prevención avanzada de amenazas, MetaDefender Optical Diode las redes críticas se comuniquen de forma segura, sin quedar expuestas en ningún momento a riesgos procedentes del exterior. Ofrece a las organizaciones la tranquilidad de saber que, incluso en entornos de alto riesgo, el intercambio de datos esenciales puede llevarse a cabo sin comprometer la seguridad.
MetaDefender Optical Diode más que un dispositivo de ciberseguridad: es sinónimo de tranquilidad para entornos en los que los límites de confianza deben mantenerse, incluso cuando otros controles no pueden hacerlo.
