Falha crítica de bypass de autenticação permite acesso a dispositivos registrados em outras contas quando o login administrativo por FortiCloud SSO está habilitado.
| Componente | FortiCloud SSO em FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb; exposição do FortiSwitch Manager ainda estava sob investigação. |
| Vetor | Atacante com conta FortiCloud e dispositivo registrado pode acessar dispositivos de outros usuários quando o login administrativo por FortiCloud SSO está habilitado. |
| Impacto | Bypass de autenticação classificado como CVE-2026-24858 com CVSS 9.4, usado em exploração ativa para criar administradores locais, alterar configurações de VPN e exfiltrar configurações de firewall. |
| Prioridade | Atualizar imediatamente os produtos afetados para versões corrigidas, auditar configurações, revisar sinais de comprometimento e rotacionar credenciais associadas. |
| IoCs | Duas contas FortiCloud maliciosas foram bloqueadas: cloud-noc at mail[.]io e cloud-init at mail[.]io. |
| Mitigação | Clientes afetados devem atualizar para restaurar os serviços de FortiCloud SSO e impedir login a partir de versões vulneráveis. |
A Fortinet iniciou a distribuição de atualizações de segurança para corrigir a vulnerabilidade crítica CVE-2026-24858, uma falha de bypass de autenticação ligada ao recurso de logon único do FortiCloud em produtos Fortinet. A condição afeta FortiOS, FortiManager e FortiAnalyzer, e a orientação posterior da CISA também incluiu FortiProxy e FortiWeb entre os produtos afetados. A investigação sobre exposição do FortiSwitch Manager ainda estava em andamento no momento descrito no material recebido.
O problema recebeu pontuação CVSS 9.4 e foi explorado ativamente antes da correção. O ponto central é o uso do FortiCloud SSO como canal alternativo de autenticação administrativa. Quando a opção de login administrativo por FortiCloud SSO está habilitada em um dispositivo, um agente malicioso que possua uma conta FortiCloud e um dispositivo registrado pode conseguir autenticação em equipamentos registrados sob outras contas. O caso não envolve, pelo material analisado, identidade SAML de terceiros nem implementações baseadas em FortiAuthenticator, que foram explicitamente separadas do escopo afetado.
A exploração observada não ficou limitada ao acesso inicial. O acesso por SSO foi usado para criar contas administrativas locais, manter persistência, alterar configurações para conceder acesso VPN a essas contas e extrair configurações de firewall. Esse encadeamento aumenta a gravidade operacional porque a configuração exportada pode revelar topologia, objetos de rede, políticas, integrações de diretório e outros elementos úteis para continuidade de acesso ou planejamento de novas tentativas de intrusão.
A falha é descrita como Authentication Bypass Using an Alternate Path or Channel, associada à categoria CWE-288. Em termos práticos, a vulnerabilidade fica na fronteira entre o dispositivo Fortinet e o mecanismo de autenticação via FortiCloud SSO. A pré-condição relevante é que o equipamento aceite login administrativo por FortiCloud SSO. Essa configuração não vem ativa no estado de fábrica, mas pode ser habilitada quando um administrador registra o dispositivo no FortiCare pela interface gráfica, a menos que tenha desativado explicitamente a opção de permitir login administrativo usando FortiCloud SSO.
O vetor exige uma conta FortiCloud e um dispositivo registrado pelo atacante. A partir dessa condição, a falha permite acesso indevido a dispositivos registrados em contas separadas, desde que esses dispositivos aceitem FortiCloud SSO. A descrição técnica disponível não fornece payload, sequência de requisições, endpoint específico ou método reproduzível, portanto a análise defensiva deve se concentrar em sinais de autenticação anômala, mudanças administrativas e efeitos pós-acesso em vez de assinatura baseada em uma cadeia pública de exploração.
A atividade maliciosa já observada incluiu criação de administradores locais, alteração de configurações para permitir VPN e exfiltração de configurações de firewall. Esses efeitos indicam que a etapa de autenticação foi suficiente para obter capacidade administrativa relevante. Em ambientes FortiGate e demais produtos Fortinet expostos à internet, uma mudança não autorizada em políticas, objetos, contas locais ou VPN pode ter impacto direto sobre perímetro, acesso remoto e governança de identidade.
A Fortinet também bloqueou duas contas FortiCloud maliciosas em 22 de janeiro de 2026 e reabilitou o FortiCloud SSO em 27 de janeiro de 2026 com restrição para impedir login a partir de dispositivos que executam versões vulneráveis. A inclusão da vulnerabilidade no catálogo KEV da CISA adicionou prazo operacional para agências federais civis dos Estados Unidos: remediação até 30 de janeiro de 2026. Para demais organizações, o mesmo dado reforça a necessidade de tratar a exposição como explorada, não apenas como risco teórico.
A superfície principal é formada por dispositivos e consoles Fortinet com FortiCloud SSO habilitado para login administrativo. O risco não se aplica ao estado de fábrica quando o recurso não foi ativado, mas a ativação pode ocorrer durante o registro do dispositivo no FortiCare pela interface administrativa. Por isso, inventários que só consideram versão de firmware sem verificar a configuração de SSO podem deixar ativos expostos fora da lista de resposta.
FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb aparecem no escopo afetado pelas orientações disponíveis. O FortiSwitch Manager estava em investigação quanto à exposição. A informação recebida também delimita o que não entra no mesmo caminho de ataque: provedores SAML de terceiros e FortiAuthenticator não foram apontados como afetados por essa falha específica. Essa separação importa para resposta porque evita troca de controles que não reduzem o risco real se o FortiCloud SSO vulnerável continuar aceitando autenticação administrativa.
O impacto mais sensível recai sobre dispositivos acessíveis pela internet, especialmente firewalls e componentes de gerenciamento que concentram políticas, VPN, integração com diretórios e configurações de rede. A exfiltração de configurações de firewall é um efeito confirmado no contexto e deve ser tratada como exposição de material operacional, mesmo sem indicação de vazamento de dados de usuários finais.
- Produtos afetados citados: FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb.
- Condição de exposição: FortiCloud SSO habilitado para login administrativo no dispositivo.
- Escopo em investigação: FortiSwitch Manager.
- Fora do escopo indicado: provedores SAML de terceiros e FortiAuthenticator para está falha específica.
A caça deve começar por eventos administrativos e mudanças de configuração em produtos Fortinet acessíveis pela internet. Como a exploração observada resultou em criação de administradores locais, concessão de acesso VPN e extração de configurações, os registros mais relevantes são logs de autenticação administrativa, eventos de alteração de conta, histórico de configuração, auditoria de VPN e evidências de exportação ou leitura de configuração. A prioridade é reconstruir a linha do tempo entre autenticações via FortiCloud SSO e mudanças persistentes no equipamento.
Equipes de segurança devem procurar contas administrativas locais criadas sem mudança formal, contas com nomes ou horários incompatíveis com janelas de manutenção, habilitação inesperada de VPN, objetos ou políticas adicionados para permitir acesso remoto e alterações que ampliem permissões. A presença de autenticação associada a FortiCloud SSO em versões vulneráveis deve ser correlacionada com qualquer modificação administrativa subsequente.
Os indicadores de conta FortiCloud fornecidos devem ser tratados como exemplos pontuais, não como cobertura completa. As contas cloud-noc at mail[.]io e cloud-init at mail[.]io foram bloqueadas, mas a defesa não deve depender apenas desses identificadores. Como o caminho explorado envolve identidade e configuração, sinais comportamentais são mais úteis do que uma lista curta de IoCs.
- Eventos de login administrativo por FortiCloud SSO em dispositivos que executavam versões vulneráveis.
- Criação de administradores locais sem tíquete, mudança planejada ou responsável identificado.
- Alterações de VPN que concedam acesso a contas locais recém-criadas.
- Exportação, leitura ou transferência de configurações de firewall em horários incomuns.
- Presença dos identificadores defangados cloud-noc at mail[.]io e cloud-init at mail[.]io em registros relacionados ao FortiCloud.
A ação principal é atualizar os produtos afetados para as versões corrigidas indicadas pelo fabricante. O FortiCloud SSO foi reabilitado com bloqueio de login para dispositivos em versões vulneráveis, portanto a atualização também é requisito para restaurar o funcionamento desse recurso de forma suportada. Organizações que dependem de login administrativo por FortiCloud SSO devem tratar a atualização como controle de acesso, não apenas como manutenção de software.
Quando houver qualquer sinal de comprometimento, o dispositivo deve ser tratado como violado. A resposta precisa incluir restauração de uma configuração comprovadamente limpa ou auditoria completa das configurações atuais, com foco em contas locais, VPN, políticas, objetos e integrações. Como a exploração observada incluiu exfiltração de configurações de firewall, a simples remoção de uma conta suspeita não encerra o risco se credenciais, objetos de rede e caminhos de acesso permanecerem válidos.
A rotação de credenciais deve abranger contas administrativas e também contas LDAP ou Active Directory conectadas aos dispositivos FortiGate quando aplicável. A validação final deve confirmar que o login administrativo por FortiCloud SSO só opera em versões corrigidas, que não existem contas administrativas não autorizadas, que configurações de VPN não foram alteradas para persistência e que produtos Fortinet expostos à internet foram revisados quanto a sinais de acesso indevido.
- Atualizar FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb para versões corrigidas.
- Verificar se o FortiCloud SSO administrativo está habilitado e restringir seu uso até a atualização estar validada.
- Restaurar configuração limpa ou auditar integralmente contas, VPN, políticas e objetos de rede.
- Rotacionar credenciais administrativas e credenciais LDAP/AD associadas aos dispositivos afetados.
- Revisar todos os produtos Fortinet acessíveis pela internet afetados pela vulnerabilidade.
0 Comentários