Fortinet começou a publicar adesivos para corrigir uma vulnerabilidade crítica em FortiOS que já está sendo explorada em ambientes reais. Identificada como CVE-2026-24858 e com uma pontuação CVSS elevada (9.4), trata-se de uma falha de tipo bypass de autenticação relacionada com o mecanismo de login único (SSO) de FortiCloud, que também afeta FortiManager e FortiAnalyzer e pode afetar outros produtos em pesquisa.
Em termos simples, a vulnerabilidade permite que um atacante disponha de uma conta FortiCloud e de um dispositivo registrado aproveite um acesso alternativo para iniciar sessão em dispositivos que pertencem a outras contas quando a função FortiCloud SSO está ativada. Esse vetor tem sido usado por atores maliciosos para obter controle administrativo: criaram contas locais de administrador, modificado configurações para conceder acesso VPN a essas contas e retiraram configurações do corta-fogo para manter presença e pivotar em redes afetadas. Fortinet descreve este abuso com mais detalhes em sua análise técnica publicado em seu blog PSIRT.
É importante esclarecer que a função FortiCloud SSO não vem ativada na configuração da fábrica. Só entra em funcionamento em cenários onde um administrador registra o dispositivo em FortiCare a partir da interface gráfica e ativa explicitamente a opção de permitir o início de sessão administrativa através de FortiCloud SSO. Isso reduz o alcance potencial, mas não elimina o risco: se a funcionalidade tiver sido habilitada em alguma instalação, essa instalação pode ser suscetível.
Diante da descoberta da exploração, Fortinet adotou várias medidas na nuvem para mitigar o ataque. Entre as ações que a empresa relatou estão o bloqueio de contas FortiCloud utilizados pelos atacantes e a desativação temporária de FortiCloud SSO a nível de serviço na nuvem, seguida de uma reativação parcial com restrições que impedem o início de sessão desde dispositivos que não tenham sido atualizados. Os detalhes e versões afetadas e corrigidas encontram-se no aviso oficial de segurança de FortiGuard FG-IR-26-060.
A rapidez e a gravidade do problema levaram a que a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA (CISA) inclua esta vulnerabilidade no seu catálogo de vulnerabilidades exploradas conhecidas ( KEV), obrigando as agências federais a remediar de forma expedita. A notificação oficial do CISA explicando a inclusão no catálogo está disponível aqui.
Se você gerencia dispositivos Fortinet, a recomendação é abordar o risco com urgência. O mínimo imprescindível passa por atualizar as equipes às versões de firmware que corrigem a falha, mas também convém auditar as configurações e os registros em busca de contas administrativas novas ou mudanças não autorizadas: a presença de usuários locais criados recentemente, regras políticas com modificações inesperadas ou entradas de VPN outorgando acessos amplos são sinais de comprometimento. Fortinet aconselha restaurar a partir de uma cópia de configuração conhecida e limpa se forem detectadas anomalias e mudar credenciais relevantes, incluindo as usadas contra pastas LDAP ou Active Directory conectados às FortiGate.
Além do adesivo, há medidas operacionais que ajudam a reduzir a exposição imediata, como desativar o FortiCloud SSO se não for estritamente necessário, rever quais dispositivos estão registrados em FortiCloud e verificar a rastreabilidade das contas com permissões administrativas. Os guias e notas técnicas de Fortinet sobre como identificar indicadores de compromisso e os passos recomendados estão disponíveis em suas comunicações oficiais PSIRT e na análise de abuso de SSO mencionado anteriormente.
Para seguir as informações técnicas consolidadas sobre a vulnerabilidade, você pode consultar a entrada no repositório de CVE e na base de NIST, onde se resumem métricas e referências públicas: CVE-2026-24858 e NVD: CVE-2026-24858.
A lição para administradores e responsáveis pela segurança é clara: a combinação de funções de gestão remota e SSO acrescenta conveniência, mas também aumenta o vetor de ataque se não se controlar estritamente quem e como os dispositivos são registrados em serviços na nuvem. A prudência e a velocidade em aplicar atualizações e auditar configurações são a melhor defesa frente a explorações que já estão a acontecer no terreno.
Se você acha que algum dos seus dispositivos Fortinet pode ser comprometido, trata a infraestrutura afetada como se já tivesse sido vulnerada, notifica as equipes de resposta e, se for caso disso, consulta com especialistas em incidentes para conter e limpar a plataforma seguindo as recomendações oficiais. Mantenha sob vigilância as comunicações de Fortinet e dos organismos de segurança para aplicar qualquer indicação adicional ou adesivo complementar que apareça.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...