SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Informação
  • Fortinet remove suporte ao modo túnel de SSL VPN
28/05/2025

Fortinet remove suporte ao modo túnel de SSL VPN

Fortinet remove suporte ao modo túnel de SSL VPN

by André Ortega / quinta-feira, 24 abril 2025 / Published in Informação, Security

Com o lançamento do FortiOS 7.6.3, a Fortinet surpreendeu ao remover o suporte ao modo túnel da SSL VPN de todos os modelos de firewalls. A partir desta versão, as configurações do modo túnel não são mais migradas ou suportadas, o que afeta diretamente todos os modelos de firewalls Fortigate.

A Fortinet já havia removido a funcionalidade de modelos menores (40F, 60F e outros), por limitação no hardware.

A recomendação oficial da Fortinet é que os clientes migrem suas configurações de SSL VPN (modo túnel) para IPsec VPN antes de atualizar para essa nova versão, a fim de evitar interrupções no acesso remoto.

Fortinet remove SSL VPN (tunel)

Mas por que a remoção repentina dessa funcionalidade?

Embora a Fortinet não tenha divulgado explicitamente os motivos por trás dessa decisão, é impossível ignorar o histórico de vulnerabilidades graves associadas à funcionalidade de SSL VPN ao longo dos anos. Muitas dessas falhas foram amplamente exploradas por cibercriminosos, gerando alertas em diversos órgãos de cibersegurança pelo mundo.

Vulnerabilidades críticas em SSL VPN da Fortinet

A seguir, listamos algumas das vulnerabilidades mais conhecidas e perigosas (2022 a 2024) relacionadas à função SSL VPN nos dispositivos Fortigate:

  • CVE-2024-21762: Vulnerabilidade de gravação fora dos limites (out-of-bounds write) no processo SSLVPNd, permitindo execução remota de código sem autenticação.
  • CVE-2023-27997: Conhecida como “XORtigate”, uma das falhas mais recentes e críticas que permitia execução remota de código via SSL VPN, afetando diversas versões do FortiOS.
  • CVE-2023-27997: Falha de estouro de buffer baseada em heap, explorável antes da autenticação, permitindo execução remota de código.
  • CVE-2023-29180: Desreferência de ponteiro nulo no processo SSLVPNd, podendo causar negação de serviço.
  • CVE-2023-22640: Gravação fora dos limites no SSLVPNd, permitindo potencial execução de código.
  • CVE-2023-29181: Vulnerabilidade de string de formato no daemon Fclicense, possibilitando execução de código.
  • CVE-2023-29179: Desreferência de ponteiro nulo no endpoint proxy do SSLVPNd, podendo causar negação de serviço.
  • CVE-2023-22641: Redirecionamento aberto no SSLVPNd, permitindo que atacantes redirecionem usuários para URLs maliciosas.
  • CVE-2022-42475: Estouro de buffer baseado em heap no processo sslvpnd, permitindo execução remota de código sem autenticação.
  • CVE-2022-40684: Falha de bypass de autenticação via requisições HTTP/HTTPS especialmente criadas, permitindo acesso administrativo não autorizado.

Essas vulnerabilidades vêm sendo exploradas por grupos avançados de ameaças persistentes (APTs), e algumas chegaram a figurar em listas de exploits usados em campanhas ativas de ciberespionagem.

Livro CCNA

O que isso significa para os administradores de rede?

Se sua empresa ainda utiliza SSL VPN no modo túnel, é fundamental planejar imediatamente a migração para IPsec VPN, que segue suportada. A falta de suporte significa que falhas não serão corrigidas e a funcionalidade poderá deixar de operar completamente após a atualização.

Outro ponto importante é o impacto no funcionamento das VPNs: ao contrário da SSL VPN, que opera sobre HTTPS e costuma ser permitida na maioria das redes, a IPsec VPN utiliza portas específicas que nem sempre estão liberadas em ambientes corporativos.

Teriam sido as vulnerabilidades o real motivo por trás dessa decisão? Ou estaria a Fortinet apenas antecipando uma tendência que outros fabricantes deverão adotar nos próximos anos?

Até a próxima.

Relacionado

Tagged under: Fortigate, Fortinet, SSLVPN

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Quantidade de CCIEs
DHCP Snooping: Protegendo sua rede contra servidores DHCP falsos
Licenças no Cisco ASA

You must be logged in to post a comment.

POSTS RECENTES

  • Brasil na Operação RapTor: Ação Global na Dark Web
    Brasil na Operação RapTor: Ação Global na Dark Web
    24/05/2025
  • TikTok: Vídeos Curtos, Grandes Riscos de Segurança
    TikTok: Vídeos Curtos, Grandes Riscos de Segurança
    24/05/2025
  • Operação Endgame: Golpe contra Ransomware
    Operação Endgame: Golpe contra Ransomware
    23/05/2025
  • Ataques Cibernéticos Miram Metallic da Commvault: Alerta da CISA
    Ataques Cibernéticos Miram Metallic da Commvault: Alerta da CISA
    23/05/2025
  • Relatório 2025: Ameaças Cibernéticas na América Latina
    Relatório 2025: Ameaças Cibernéticas na América Latina
    23/05/2025

Tags

#Microsoft #CobaltStrike #Ransomware #AtaquesCibernéticos #SegurançaDigital #Hackers #Fortra #HealthISAC #ProteçãoDeDados #TI #CyberThreats #SegurançaNaNuvem #Tecnologia #MicrosoftSecurity #Broadcom 2324 2010 2015 2017 2022 2023 2024 2350 200-125 25 anos 2560C 2960C 2960X 2975 350-050 3560-X 200-301 2009 200-120 100-101 #Multicloud #VMwareTransformation 1 ano 1.1.1.100 10 anos 10 Gbps 100 empresas 200-101 100 Gigabit 1905 1921 1925 1941 2.0 1900 2800 2900 2013 2011 1800 2960 3750 2960S

Arquivo

Login

  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

X

Blog: Verificando MD5 (hash) de um arquivo no Windows e Linux brainwork.com.br/2023/05/11/v… #Checksum #CiscoChampion #Hash

Hahahahah Muito bom twitter.com/TracketPacer/s…

Blog: Trocar ícone (favicon) da página guest no Cisco ISE brainwork.com.br/2023/04/24/t… #Cisco_Champion #Customização #Favicon

Blog: Cisco Champion 2023 brainwork.com.br/2023/04/10/c… #CiscoChampion

Blog: RFC 2324 (HTCPCP), conhece? brainwork.com.br/2023/04/01/r… #2324 #CiscoChampion #HTCPCP

Seguir @brainworkblog
  1. ./fernando em Aprenda Python e ganhe pontos para renovar as certificações CCNA, CCNP e CCIE
  2. André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)
  3. ALEX LIRA CAMACHO em Reset Cisco FTD (zerar FTD sem reinstalar)
  4. André Ortega em Atualizando Cisco 9300 (Install Mode)
  5. Dominique em Atualizando Cisco 9300 (Install Mode)

Entre em contato:

  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP
Gerenciar o consentimento
Para fornecer as melhores experiências, usamos tecnologias como cookies para armazenar e/ou acessar informações do dispositivo. O consentimento para essas tecnologias nos permitirá processar dados como comportamento de navegação ou IDs exclusivos neste site. Não consentir ou retirar o consentimento pode afetar negativamente certos recursos e funções.
Funcional Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos. O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.
Gerenciar opções Gerenciar serviços Manage {vendor_count} vendors Leia mais sobre esses propósitos
Ver preferências
{title} {title} {title}
  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless