Falha crítica de controle de acesso atinge sistemas da Fortinet e expõe infraestrutura corporativa a risco elevado
A Fortinet está lidando com uma vulnerabilidade grave em seus produtos FortiOS, FortiManager e FortiAnalyzer, identificada como CVE-2026-24858 e classificada com pontuação CVSS 9,8, praticamente no topo da escala de criticidade. O problema está ligado a uma falha de controle de acesso que permite o bypass de autenticação por meio de um caminho alternativo, abrindo a possibilidade de que invasores obtenham privilégios elevados em dispositivos corporativos.
Para conter o risco de exploração em larga escala, a empresa bloqueou as conexões de Single Sign-On (SSO) do FortiCloud originadas de equipamentos que ainda executam versões vulneráveis de firmware. Essas conexões só serão restabelecidas quando os clientes aplicarem as atualizações de segurança necessárias. Na prática, isso significa que ambientes que dependem do SSO do FortiCloud para administração remota podem enfrentar interrupções até que sejam totalmente corrigidos.
Como a falha funciona e por que é tão perigosa
A vulnerabilidade afeta especificamente cenários em que o SSO do FortiCloud está habilitado. Em condições normais, cada conta FortiCloud e seus dispositivos registrados formam um domínio lógico separado. No entanto, devido à falha, um atacante que possua uma conta FortiCloud legítima e um dispositivo registrado consegue explorar um canal alternativo de autenticação e, assim, obter acesso não autorizado a outros dispositivos associados a contas FortiCloud diferentes.
Em outras palavras, a fronteira entre contas independentes pode ser rompida. Isso transforma um recurso criado para facilitar a administração – o login centralizado via SSO – em um vetor de ataque com potencial para comprometer diversos equipamentos simultaneamente, inclusive em organizações distintas.
O problema é classificado como um bypass de autenticação por caminho ou canal alternativo (CWE-288). Essa categoria descreve situações em que o invasor ignora o fluxo de autenticação “oficial” e usa uma rota paralela, que não está adequadamente protegida, para se autenticar como um usuário privilegiado.
Detalhes sobre o SSO do FortiCloud e a ativação automática
A Fortinet faz questão de destacar que o SSO do FortiCloud não vem ativado por padrão na configuração de fábrica. Porém, há um ponto crítico de atenção: quando um administrador registra o dispositivo no FortiCare por meio da interface gráfica (GUI), o recurso “Permitir login administrativo usando o SSO do FortiCloud” é habilitado automaticamente, a menos que o responsável desmarque manualmente essa opção durante o processo de registro.
Esse detalhe de usabilidade, pensado para simplificar a vida do administrador, tornou-se um fator de risco adicional. Muitos ambientes podem estar com o SSO ativo sem que os times de segurança tenham plena consciência disso, o que amplia a superfície de ataque e dificulta o inventário de exposição.
Exploração ativa e resposta emergencial
A gravidade da vulnerabilidade não é apenas teórica. A Fortinet confirmou que a falha foi explorada em ataques reais por, pelo menos, duas contas maliciosas do FortiCloud. Essas contas foram bloqueadas em 22 de janeiro de 2026, após detecção de atividades suspeitas, e a empresa iniciou medidas emergenciais para conter a exploração em andamento.
Como parte dessa resposta, em 26 de janeiro de 2026, a Fortinet desativou globalmente o SSO do FortiCloud para reduzir a possibilidade de novos comprometimentos. No dia seguinte, em 27 de janeiro, o serviço foi reativado, porém com uma restrição importante: dispositivos executando versões vulneráveis dos firmwares afetados deixaram de ser aceitos para login via SSO. Ou seja, só equipamentos devidamente corrigidos podem, a partir daí, usar o recurso com segurança.
Além disso, autoridades de cibersegurança também reagiram. A falha foi adicionada ao catálogo oficial de vulnerabilidades ativamente exploradas de uma agência de segurança cibernética do governo dos Estados Unidos, o que reforça o status de urgência para correção. Quando uma vulnerabilidade entra nesse tipo de lista, a expectativa é que empresas e órgãos públicos priorizem rapidamente o patch.
Impacto sobre confidencialidade, integridade e disponibilidade
Do ponto de vista técnico, a falha não exige autenticação prévia no dispositivo-alvo nem interação de usuários finais, desde que o invasor já possua uma conta FortiCloud e um equipamento registrado. A partir desse ponto, o caminho de exploração torna-se relativamente direto, o que reduz barreiras para grupos maliciosos com conhecimentos medianos.
O impacto potencial é completo:
– Violação da confidencialidade: acesso indevido a arquivos de configuração, parâmetros de segurança, rotas, regras de firewall e possíveis dados sensíveis armazenados nos dispositivos.
– Comprometimento da integridade: possibilidade de alteração não autorizada de regras, políticas de acesso, perfis de usuários, filtros de tráfego e demais configurações críticas.
– Afetação da disponibilidade: interrupção do monitoramento, derrubada de serviços, desativação de proteções ou até mesmo bloqueio da própria equipe de TI fora do sistema, por meio da criação de contas administrativas maliciosas.
A Fortinet relatou que, após comprometer um dispositivo, os invasores baixavam os arquivos de configuração das vítimas e criavam contas administrativas adicionais, o que garante persistência no ambiente e dificulta a remoção completa do atacante.
Produtos sob investigação e escopo potencial
Embora a vulnerabilidade tenha sido confirmada em FortiOS, FortiManager e FortiAnalyzer, a Fortinet informou que outros produtos ainda estão sob investigação, entre eles FortiWeb e FortiSwitch Manager. Isso significa que o escopo final da falha pode se expandir à medida que as análises avançam.
Para organizações que utilizam o ecossistema Fortinet de forma integrada, esse ponto é crucial. Muitos ambientes combinam firewall, gerenciamento centralizado, análise de logs, WAF e gerenciamento de switches sob a mesma família de soluções. Uma única brecha em um componente com alto nível de privilégio pode funcionar como porta de entrada para toda a infraestrutura de segurança.
Correções em desenvolvimento e necessidade de atualização imediata
A empresa informou que as correções definitivas para as versões vulneráveis de FortiOS, FortiManager e FortiAnalyzer ainda estão em desenvolvimento ou em fase de liberação progressiva. Nesse meio-tempo, a exigência de atualização para que o SSO volte a funcionar integralmente tende a acelerar o processo de aplicação de patches.
Do ponto de vista de gestão de risco, administradores não devem aguardar prazos confortáveis. Em ambientes críticos, a recomendação é:
1. Identificar imediatamente quais dispositivos utilizam SSO do FortiCloud.
2. Verificar as versões exatas de firmware instaladas.
3. Planejar janelas de manutenção emergenciais para atualização, priorizando equipamentos expostos à internet ou que tenham papel central no gerenciamento da rede.
Medidas práticas para mitigar o risco
Enquanto a correção completa não for aplicada em todos os dispositivos, algumas boas práticas podem reduzir significativamente a superfície de ataque:
– Desabilitar o SSO do FortiCloud em todos os equipamentos onde ele não seja estritamente necessário.
– Revisar as contas administrativas locais em FortiOS, FortiManager e FortiAnalyzer, removendo usuários desconhecidos, renomeando contas padrão e reforçando políticas de senha.
– Ativar autenticação multifator para todos os acessos administrativos, inclusive em painéis de gerenciamento remoto.
– Monitorar logs de autenticação em busca de logins suspeitos, origens de IP incomuns e tentativas de acesso em horários atípicos.
– Restringir, via firewall, os endereços IP autorizados a acessar as interfaces de administração dos dispositivos, adotando o princípio de menor privilégio.
A Fortinet indicou ainda que foram identificadas conexões originadas de determinados endereços IP associados às contas maliciosas. Mesmo sem divulgar todos os detalhes técnicos, esse tipo de informação pode ser usado pelos times de segurança para criar regras de bloqueio, listas de negação e alertas específicos em soluções de detecção de ameaças.
Riscos estratégicos para empresas que dependem da Fortinet
Do ponto de vista de negócios, a falha revela um ponto sensível: muitas empresas concentram sua estratégia de segurança em poucos fabricantes, delegando a eles não apenas a proteção da rede, mas também a visibilidade e o gerenciamento centralizado. Quando uma vulnerabilidade crítica atinge justamente os componentes responsáveis pelo controle, o risco se torna sistêmico.
Organizações que utilizam FortiManager e FortiAnalyzer como “cérebro” da operação de segurança precisam avaliar a possibilidade de que uma invasão nesses sistemas permita que o invasor manipule as políticas de múltiplos firewalls e appliances de segurança ao mesmo tempo. Isso amplia drasticamente o potencial de dano e exige planos de resposta a incidentes específicos para esse tipo de cenário.
Como integrar essa falha ao seu programa de gestão de vulnerabilidades
Em termos de governança, a vulnerabilidade deve ser incluída na lista de prioridades máximas de qualquer programa de gestão de vulnerabilidades e patches. Algumas ações recomendadas:
– Classificar a CVE como risco crítico, com prazos de correção agressivos.
– Documentar quais ativos estão potencialmente afetados, incluindo localização, função e exposição externa/interna.
– Atualizar o inventário de sistemas para refletir a real dependência de SSO do FortiCloud.
– Ajustar o plano de continuidade de negócios considerando cenários de indisponibilidade temporária de ferramentas de gestão Fortinet durante as janelas de patch.
– Realizar varreduras e análises pós-correção para identificar possíveis sinais de exploração prévia, como contas administrativas incomuns ou alterações não explicadas em configurações.
Considerações finais: lições para além da Fortinet
O incidente envolvendo a CVE-2026-24858 traz lições importantes para todo o mercado de segurança, não apenas para clientes da Fortinet. Funcionalidades de conveniência, como SSO em nuvem e registro automático de dispositivos, podem introduzir riscos adicionais se não forem acompanhadas de controles rigorosos e de uma comunicação clara com os administradores.
Empresas devem revisar periodicamente quais recursos “default” estão ativos em seus appliances de rede e segurança e, sempre que possível, adotar uma postura de ativação explícita: só habilitar o que é realmente necessário, após avaliação de risco. Ao mesmo tempo, é fundamental que equipes de TI e segurança mantenham processos maduros de atualização, monitoramento e resposta a incidentes, capazes de reagir rapidamente quando vulnerabilidades críticas, como esta, vierem à tona.
Enquanto as correções finais são implementadas, a combinação de atualização de firmware, desativação seletiva do SSO, revisão de contas administrativas e monitoramento reforçado é a melhor estratégia para proteger a infraestrutura e reduzir a janela de exposição a ataques direcionados aos ambientes Fortinet.