A Fortinet publicou um alerta crítico sobre uma vulnerabilidade de bypass de autenticação no FortiCloud SSO que afeta múltiplos produtos, incluindo FortiOS, FortiWeb, FortiProxy e FortiSwitchManager. O problema envolve uma falha de verificação inadequada de assinatura criptográfica (CWE-347).
Em cenários específicos, atacantes podem explorar uma mensagem SAML manipulada para obter acesso administrativo sem autenticação. Embora o recurso FortiCloud SSO não venha habilitado por padrão, ele pode ser ativado automaticamente durante o processo de registro no FortiCare, o que aumenta o risco em ambientes que utilizam esse fluxo de onboarding.
A seguir, apresento uma análise completa do problema, seus impactos e as ações imediatas recomendadas para mitigar o risco.
Entendendo a vulnerabilidade: Improper Verification of Cryptographic Signature
O alerta descreve uma falha relacionada à verificação incorreta de assinaturas criptográficas em mensagens SAML usadas no fluxo de login via FortiCloud SSO. Quando a verificação falha de forma silenciosa, um atacante pode explorar essa fragilidade e, portanto, forçar um bypass de autenticação usando uma mensagem malformada. Esse cenário cria uma superfície de ataque crítica para dispositivos expostos à internet ou acessíveis a partir de redes não confiáveis.
O vetor só existe quando o recurso “Allow administrative login using FortiCloud SSO” está ativado. Isso significa que ambientes minimamente endurecidos podem não estar expostos. Entretanto, quando o administrador registra o dispositivo no FortiCare pela interface gráfica, o recurso tende a ser habilitado automaticamente, a menos que o responsável desative o toggle manualmente. Portanto, muitos appliances podem ter esse recurso habilitado sem que o time de operações perceba.
Além disso, o impacto é significativo porque o bypass ocorre antes de qualquer camada de autenticação tradicional. Em outras palavras, um invasor pode obter acesso administrativo com um payload SAML especialmente criado, o que compromete integralmente o dispositivo e, por consequência, a rede que o appliance protege.
Produtos e versões afetadas: avaliação de exposição
A Fortinet publicou uma tabela abrangente indicando versões vulneráveis e os releases de correção correspondentes. A seguir, apresento uma síntese segmentada por produto, com foco na tomada de decisão imediata:
FortiOS:
-
Afetado: 7.0.0 até 7.0.17, 7.2.0 até 7.2.11, 7.4.0 até 7.4.8, 7.6.0 até 7.6.3.
-
Solução: Atualizar para 7.0.18, 7.2.12, 7.4.9 ou 7.6.4, respectivamente.
-
Observação: FortiOS 6.4 não é afetado.
FortiProxy:
-
Afetado: 7.0.0 até 7.0.21, 7.2.0 até 7.2.14, 7.4.0 até 7.4.10, 7.6.0 até 7.6.3.
-
Solução: Atualizar para 7.0.22, 7.2.15, 7.4.11 ou 7.6.4.
FortiSwitchManager:
-
Afetado: 7.0.0 até 7.0.5 e 7.2.0 até 7.2.6.
-
Solução: Atualizar para 7.0.6 ou 7.2.7.
FortiWeb:
-
Afetado: versões 8.0.0, 7.6.0 até 7.6.4 e 7.4.0 até 7.4.9.
-
Solução: Atualizar para 8.0.1, 7.6.5 ou 7.4.10.
-
Observação: Versões 7.0 e 7.2 não são afetadas.
Essa matriz deixa claro que a maior parte das versões atuais e amplamente implantadas nas empresas precisa de atualização imediata. Além disso, muitas organizações operam clusters heterogêneos, o que aumenta a importância de revisar o fleet management antes de planejar os upgrades.
Para auxiliar no processo, a Fortinet recomenda o uso do Upgrade Path Tool, disponível na documentação oficial. Ele ajuda a validar sequências de atualização suportadas, reduzindo riscos durante a migração de release.
Mitigação imediata: ações críticas para proteção
Como o vetor de ataque depende exclusivamente da ativação do FortiCloud SSO, a mitigação emergencial é simples e deve ser aplicada imediatamente. Portanto, siga um dos métodos abaixo para desabilitar o recurso até que a atualização seja concluída.
Via GUI:
Acesse System → Settings e desative o botão “Allow administrative login using FortiCloud SSO”.
Via CLI:
config system global
set admin-forticloud-sso-login disable
endEsse procedimento bloqueia o vetor explorável e reduz o risco até que a equipe conclua o ciclo de atualização. Além disso, revisar processos internos de registro no FortiCare é fundamental para evitar ativações não intencionais desse recurso no futuro.
Outra recomendação prática é monitorar logs de autenticação e eventos SAML que possam indicar tentativas de exploração. Embora a Fortinet não tenha publicado indicadores de comprometimento específicos, análises de tráfego SAML inesperado ou repetitivo podem fornecer sinais de atividade anômala.
Considerações finais e próximos passos
Essa vulnerabilidade demonstra como recursos de conveniência, como SSO integrado ao FortiCloud, podem introduzir riscos adicionais quando ativados sem supervisão adequada. Portanto, equipes de segurança devem revisar o estado atual de configurações administrativas em todos os appliances Fortinet. Além disso, ambientes com exposição pública precisam priorizar a atualização, pois o impacto de um bypass administrativo é crítico em qualquer arquitetura de segurança.
A falha foi identificada internamente pelos pesquisadores Yonghui Han e Theo Leleu do time de Product Security da Fortinet, com publicação oficial em 09 de dezembro de 2025. Isso indica maturidade no processo de revisão interna, mas também reforça a importância de aplicar correções de forma proativa.
Por fim, alinhe sua política de hardening com a desativação de recursos não utilizados e revise práticas de onboarding no FortiCare. Essa postura reduz a superfície de ataque e, consequentemente, fortalece a resiliência operacional dos dispositivos Fortinet em sua infraestrutura.
About The Author
