A Fortinet confirmou a existência de uma nova vulnerabilidade crítica de bypass na autenticação do FortiCloud Single Sign-On (SSO), identificada como
CVE-2026-24858
, que está sendo explorada ativamente.
A empresa mitigou os ataques zero-day bloqueando conexões FortiCloud SSO originadas de dispositivos com firmware vulnerável.
Essa falha permite que hackers explorem o FortiCloud SSO para obter acesso administrativo em dispositivos FortiOS, FortiManager e FortiAnalyzer registrados por outros clientes, mesmo quando esses aparelhos estão atualizados com patches anteriores que corrigiam uma vulnerabilidade semelhante.
A confirmação ocorreu após relatos de clientes informando que seus firewalls FortiGate foram comprometidos em 21 de janeiro, com os invasores criando novas contas de administrador local via FortiCloud SSO em dispositivos com a versão mais recente do firmware.
Inicialmente, os ataques foram atribuídos a uma falha no patch da vulnerabilidade
CVE-2025-59718
, outro exploit crítico do FortiCloud SSO explorado e corrigido em dezembro de 2025.
Administradores da Fortinet relataram que os invasores acessavam dispositivos FortiGate utilizando o endereço de e-mail [email protected] por meio do FortiCloud SSO e então criavam contas administrativas locais.
Os logs compartilhados pelos clientes indicaram padrões semelhantes aos observados nos ataques de dezembro.
No dia 22 de janeiro, a empresa de segurança Arctic Wolf confirmou que os ataques aparentavam ser automatizados, com novas contas administrativas e acessos VPN sendo criados em segundos, além da exfiltração das configurações dos firewalls.
A Arctic Wolf destacou que o modus operandi lembrava a campanha do final do ano anterior que explorava a
CVE-2025-59718
.
Em 23 de janeiro, a Fortinet confirmou que os invasores estavam utilizando um caminho alternativo de autenticação, presente mesmo em sistemas totalmente atualizados.
O CISO da Fortinet, Carl Windsor, ressaltou que dispositivos com o firmware mais recente foram comprometidos, o que indica uma nova rota de ataque.
Embora a exploração tenha sido observada apenas via FortiCloud SSO, a Fortinet alertou que o problema pode afetar outras implementações de SAML-based SSO.
A empresa recomendou restringir o acesso administrativo e desabilitar temporariamente o FortiCloud SSO como medida paliativa.
Para conter os ataques enquanto os patches são desenvolvidos, a Fortinet adotou as seguintes medidas:
- Em 22 de janeiro, bloqueou as contas FortiCloud utilizadas pelos invasores.
- Em 26 de janeiro, desativou globalmente o FortiCloud SSO no servidor FortiCloud para evitar abusos.
- Em 27 de janeiro, o acesso ao FortiCloud SSO foi restabelecido, porém com restrições que impedem dispositivos com firmware vulnerável de autenticar via SSO.
De acordo com a empresa, essa modificação no lado servidor bloqueia efetivamente a exploração, mesmo que o FortiCloud SSO permaneça ativado nos dispositivos afetados, eliminando a necessidade de ações imediatas pelos administradores até o lançamento dos patches.
Na mesma data, a Fortinet publicou um advisory oficial do PSIRT atribuindo a vulnerabilidade
CVE-2026-24858
, classificando-a como crítica, com pontuação CVSS 9,4.
Trata-se de um “Authentication Bypass Using an Alternate Path or Channel”, causado por um controle de acesso inadequado no FortiCloud SSO.
Segundo o comunicado, um atacante com conta FortiCloud e dispositivo registrado poderia autenticar-se em aparelhos de outros clientes enquanto o FortiCloud SSO estivesse habilitado.
Embora o FortiCloud SSO não seja ativado por padrão, a Fortinet informa que ele é ligado automaticamente quando um dispositivo é registrado no FortiCare, salvo se desabilitado manualmente.
Os ataques confirmados foram conduzidos por duas contas maliciosas FortiCloud SSO, ambas bloqueadas em 22 de janeiro.
Após o comprometimento, os invasores baixavam arquivos de configuração dos clientes e criavam contas administrativas locais.
A Fortinet ainda está desenvolvendo patches para FortiOS, FortiManager e FortiAnalyzer.
Enquanto isso, o bloqueio de logins via FortiCloud SSO em dispositivos vulneráveis permanece ativo, dispensando a desativação da funcionalidade pelos administradores.
No entanto, considerando o risco para outras implementações de SAML SSO, recomenda-se a desativação temporária do SSO por meio de comandos específicos.
A empresa também investiga se FortiWeb e FortiSwitch Manager podem ser afetados pela vulnerabilidade.
A Fortinet alerta que clientes que identificarem os sinais de comprometimento descritos nos logs devem considerar seus dispositivos totalmente invadidos.
Nesses casos, recomenda-se revisar todas as contas administrativas, restaurar as configurações a partir de backups limpos e trocar imediatamente todas as credenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...