las vulnerabilidades de octubre 2025 fortinet e ivanti ponen parches a toda prisa

Las vulnerabilidades de octubre 2025: Fortinet e Ivanti ponen parches a toda prisa

PorCarlos Ribeiro

En el mundo de la ciberseguridad, octubre siempre trae consigo una avalancha de parches. Este mes, Fortinet e Ivanti han publicado sus actualizaciones correspondientes al Patch Tuesday de octubre 2025, destinadas a corregir fallos que podrían tener consecuencias muy serias para sus usuarios. Vamos a ver qué han arreglado y por qué deberías actualizar tus sistemas cuanto antes.

El arsenal de vulnerabilidades en Fortinet

Fortinet no se ha quedado corto este mes: 29 nuevos avisos que cubren más de 30 vulnerabilidades distintas. Algunas de ellas son especialmente preocupantes.

El problema con Apache Tika en FortiDLP

Entre las más destacadas está la CVE-2025-54988, que afecta a FortiDLP debido a su dependencia de Apache Tika. No es un fallo menor: permite a un atacante leer datos sensibles o enviar peticiones maliciosas tanto a recursos internos como a servidores de terceros.

FortiDLP también sufre de otros dos fallos serios (CVE-2025-53951 y CVE-2025-54658) que permitirían a un atacante que ya tenga autenticación escalar sus privilegios hasta LocalService o incluso Root. La mecánica es simple pero efectiva: solo necesitan enviar una solicitud especialmente manipulada. Y todos sabemos que una vez que alguien consigue privilegios de root en un sistema, básicamente tiene las llaves del reino.

Otras vulnerabilidades críticas en el ecosistema Fortinet

El problema no acaba en FortiDLP. FortiOS, el sistema operativo que está detrás de muchos de los productos de la empresa, sufre la vulnerabilidad CVE-2025-58325, que permite a un atacante autenticado ejecutar comandos del sistema. No hace falta que explique por qué esto es particularmente peligroso.

Otra perla es la CVE-2024-33507 en FortiIsolator, que permite a un atacante remoto usar cookies modificadas para realizar dos tipos de ataque: desautenticar a administradores conectados (incluso sin estar autenticado) o conseguir privilegios de escritura (si ya tiene algún tipo de autenticación).

FortiClientMac tampoco se libra, con la CVE-2025-57741 afectando a su componente LaunchDaemon y permitiendo escalar privilegios.

Y por si todo esto fuera poco, existe la CVE-2025-49201 que afecta tanto a FortiPAM como a FortiSwitchManager, permitiendo a un atacante saltarse la autenticación mediante un ataque de fuerza bruta. Sí, has leído bien, un ataque de fuerza bruta en 2025. Algunas cosas nunca cambian.

El resto del catálogo de fallos

Además, Fortinet ha corregido vulnerabilidades de gravedad media y baja en prácticamente toda su cartera de productos: FortiOS, FortiPAM, FortiProxy, FortiClientMac, FortiClientWindows, FortiADC, FortiSwitchManager, FortiManager, FortiAnalyzer, FortiSRA, FortiRecorder, FortiTester, FortiVoice, FortiWeb, FortiSASE, FortiSOAR y FortiSIEM.

Los efectos potenciales de estas vulnerabilidades son variados pero igualmente preocupantes: desde ejecución arbitraria de código (el santo grial para los atacantes), pasando por secuestro de DLL, obtención de datos confidenciales, evasión de mecanismos de seguridad, ataques de denegación de servicio, ataques XSS, redirecciones maliciosas y, cómo no, escalada de privilegios.

Es importante destacar que, al menos hasta ahora, no hay evidencia de que estos fallos hayan sido explotados «en la naturaleza». La buena noticia es que muchos fueron descubiertos internamente por el propio equipo de Fortinet, lo que demuestra que al menos alguien está haciendo los deberes.

Ivanti no se queda atrás en la carrera de los parches

Por su parte, Ivanti también ha hecho los deberes y ha publicado parches para sus productos Endpoint Manager Mobile (EPMM) y Neurons for MDM. También ha actualizado un aviso para Endpoint Manager, ofreciendo opciones para mitigar vulnerabilidades que se divulgaron a principios de mes.

Los fallos más graves en EPMM y Neurons for MDM

En EPMM, Ivanti ha abordado tres fallos de alta gravedad que comparten un patrón común: pueden ser explotados por un atacante que tenga autenticación con privilegios de administrador para ejecutar código arbitrario. No es el escenario más probable (ya que requiere credenciales de administrador), pero tampoco es descartable, especialmente si pensamos en amenazas internas o cuentas comprometidas. También han arreglado un problema de gravedad media que permite a un atacante autenticado escribir datos en disco.

En cuanto a Neurons for MDM, Ivanti ha corregido dos vulnerabilidades de alta gravedad. Una de ellas permite a un atacante con permisos de administrador «desinscribir dispositivos arbitrarios», haciendo que estos desaparezcan de la interfaz de gestión. La segunda es una elusión de la autenticación multifactor (MFA), que puede ser explotada por un atacante remoto que ya tenga algún tipo de autenticación.

También han solucionado un fallo de gravedad media que permitía a un atacante remoto y sin autenticación acceder a información sensible de usuario a través de un punto de acceso API. Este tipo de fugas de información suelen ser el primer paso para ataques más sofisticados.

Al igual que Fortinet, Ivanti afirma que no tiene evidencia de que estas vulnerabilidades estén siendo explotadas activamente. Sin embargo, conociendo el historial reciente, esto no es garantía de nada.

¿Por qué deberías preocuparte?

Los productos de Ivanti y Fortinet se han convertido en objetivos frecuentes para actores maliciosos, y hay buenas razones para ello. Son soluciones empresariales con gran implantación, lo que las convierte en un objetivo jugoso: comprometer un solo dispositivo puede dar acceso a toda una red corporativa.

Lo hemos visto en el pasado con vulnerabilidades zero-day en productos de ambas compañías que fueron explotadas activamente antes de que existiera un parche. Si analizamos los incidentes relacionados con CISA y las campañas coordinadas contra dispositivos de seguridad, vemos que no es paranoia: es una tendencia clara.

La urgencia de aplicar parches

Si eres administrador de sistemas o responsable de seguridad y tienes alguno de estos productos en tu entorno, mi consejo no puede ser más claro: aplica estos parches lo antes posible. Las actualizaciones de seguridad suelen ser vistas como una molestia, pero en casos como este, pueden ser la diferencia entre un día normal de trabajo y semanas recuperándose de un incidente.

No es casualidad que los actores maliciosos suelan explotar vulnerabilidades justo después de que se publiquen los parches. Saben que muchas organizaciones tardan en aplicarlos, y esa ventana de oportunidad es oro para ellos.

Mientras escribo esto, seguramente ya hay equipos de hackers analizando estos parches, haciendo ingeniería inversa para entender exactamente qué fallos corrigen y cómo explotarlos en sistemas sin actualizar. Es una carrera contra el tiempo, y tú decides en qué lado quieres estar.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *