Fortinet lanza un parche crítico para FortiOS y FortiSwitch que cierra una falla de ejecución remota con privilegios de administrador
Una cadena de fallas —encabezada por CVE-2024-48887 en FortiSwitch y por CVE-2024-48886 junto a varios CVE acumulativos en FortiOS— permite que un atacante remoto, sin autenticar, ejecute comandos o cambie contraseñas de administrador enviando peticiones especialmente diseñadas a la interfaz web GUI. Investigadores de CISA y del CIS han confirmado explotación activa en Internet.
El vector abre la puerta a implantación de backdoors, pivoteo lateral y desactivación de controles perimetrales, afectando tanto firewalls FortiGate como switches gestionados FortiSwitch.
Versiones afectadas
| FortiOS | 7.4.0 – 7.4.4, 7.2.0 – 7.2.8, 7.0.0 – 7.0.15, 6.4.0 – 6.4.15 | 9.8 (RCE) |
| FortiSwitchOS | 6.4.0 – 6.4.14, 7.0.0 – 7.0.10, 7.2.0 – 7.2.8, 7.4.0 – 7.4.4, 7.6.0 | 9.3 (privilege-change) |
Versiones corregidas — ¡actualizá ya!
| FortiOS | 7.4.5, 7.2.9, 7.0.16, 6.4.16 |
| FortiSwitchOS | 9.0.3, 7.4.5, 7.2.9, 7.0.11, 6.4.15 |
Los parches se incluyen en la herramienta Upgrade Path de FortiGuard y eliminan la vulnerabilidad sin necesidad de reconfigurar dispositivos.
Riesgos de no actualizar
- Acceso total al firewall: actores aprovechan la falla para crear cuentas ocultas y ejecutar binarios con root.
- Despliegue de ransomware y exfiltración: campañas recientes de “SuperBlack” ya combinan exploits de Fortinet con cifrado selectivo en redes OT.
- Pivoting hacia la LAN: una vez dentro del FortiGate, el atacante puede redirigir tráfico o instalar reglas NAT maliciosas.
Guía rápida de actualización segura
FortiOS
- Verificá el modelo y versión con get system status.
- Descargá la imagen 7.4.5 (o la que aplique) desde el portal de soporte.
- Realizá backup de full-config y VDOM-config.
- Aplicá el firmware vía CLI (execute restore image) o GUI y reiniciá.
FortiSwitchOS
- En topologías FortiLink, actualizá primero el FortiGate controlador y luego cada switch con execute fnsys update.
- Confirmá vía get system firmware que la build coincida con 9.0.3 / 7.4.5, según rama.
Mitigaciones temporales
Si tu ventana de mantenimiento es limitada:
- Deshabilitá HTTP/HTTPS en interfaces de administración y restringí accesos a IPs confiables .
- Habilitá two-factor authentication en todas las cuentas administrativas y revocá claves sospechosas.
Buenas prácticas complementarias
- Supervisá logs con reglas que detecten cambios de contraseña y creación de usuarios fuera de horario.
- Segmentá la gestión en una VLAN o red fuera de producción para minimizar superficie de ataque.
- Automatizá parches usando Fabric Connector y cron jobs de FortiManager para evitar brechas futuras.
La ventana de explotación está abierta y los atacantes ya escanean Internet en busca de dispositivos Fortinet sin parche. Actualizar a FortiOS 7.4.5/7.2.9 y FortiSwitchOS 9.0.3/7.4.5 es la única medida definitiva para cerrar la brecha. Postergarlo es, literalmente, dejar la puerta del perímetro abierta.
