Introdução
Fortinet emitiu um aviso urgente sobre uma vulnerabilidade crítica que permite a invasores contornar a autenticação FortiCloud SSO em vários produtos da linha Fortinet. A falha foi divulgada pela equipe de Product Security da própria Fortinet em 9 de dezembro de 2025.
Descoberta e escopo / O que mudou agora
A falha, classificada como Improper Verification of Cryptographic Signature (CWE-347), decorre da validação incorreta de assinaturas dentro de mensagens SAML. Quando explorada, um invasor não autenticado pode forjar uma mensagem SAML específica e obter acesso administrativo ao dispositivo.
Produtos e versões afetadas
O advisory lista múltiplos produtos e faixas de versões afetadas; entre eles:
- FortiOS: 7.6.0–7.6.3 (atualizar para 7.6.4+), 7.4.0–7.4.8 (atualizar para 7.4.9+), 7.2.0–7.2.11 (atualizar para 7.2.12+), 7.0.0–7.0.17 (atualizar para 7.0.18+).
- FortiProxy: 7.6.0–7.6.3 (atualizar para 7.6.4+), 7.4.0–7.4.10 (atualizar para 7.4.11+), 7.2.0–7.2.14 (atualizar para 7.2.15+), 7.0.0–7.0.21 (atualizar para 7.0.22+).
- FortiSwitchManager: 7.2.0–7.2.6 (atualizar para 7.2.7+), 7.0.0–7.0.5 (atualizar para 7.0.6+).
- FortiWeb: 8.0.0 (atualizar para 8.0.1+), 7.6.0–7.6.4 (atualizar para 7.6.5+), 7.4.0–7.4.9 (atualizar para 7.4.10+).
Vetor e exploração / Mitigações
Segundo a fabricante, a falha explora a verificação insuficiente de assinaturas SAML. Embora o recurso FortiCloud SSO não esteja habilitado por padrão, a Fortinet alertou que, ao registrar um dispositivo no FortiCare via GUI, o toggle “Allow administrative login using FortiCloud SSO” fica ativado por padrão — ou seja, um aparelho recém-registrado pode ficar vulnerável até que o administrador desative a opção explicita‑mente.
Mitigações imediatas recomendadas pela Fortinet:
- Aplicar os upgrades de firmware publicados para as versões corretivas listadas no advisory.
- Para organizações que não podem patchar imediatamente: desabilitar o login administrativo via FortiCloud SSO enquanto não aplicar as atualizações.
Impacto e alcance / Setores afetados
O impacto é elevado porque a exploração permite ganho de privilégios administrativos sem autenticação válida, o que abre caminho para configuração maliciosa, persistência e potencial controle de tráfego em perímetros de rede. Os produtos afetados são amplamente usados em ambientes corporativos e provedores de serviço, o que amplia o risco operacional quando dispositivos com FortiCloud SSO habilitado estiverem expostos.
Limites das informações / O que falta saber
A publicação da Fortinet não indica, no momento da divulgação, a existência de exploração ativa em massa nem fornece indicadores de compromisso (IoCs) públicos associados a ataques reais. Também não há CVE único destacado no texto da fonte citada; a descrição técnica concentra‑se na causa (verificação de assinatura SAML) e nas versões que devem ser atualizadas.
Repercussão / Próximos passos
Administradores devem priorizar verificações de dispositivos registrados recentemente no FortiCare e confirmar o estado do toggle FortiCloud SSO. Operações de segurança devem:
- Inventariar appliances Fortinet e validar a versão de firmware;
- Aplicar as versões corretivas fornecidas pela Fortinet;
- Bloquear acessos administrativos à interface de gestão a partir da internet pública até que o patch seja implantado;
- Monitorar logs para atividades administrativas atípicas e autenticações SAML suspeitas.
Fontes: advisory público da Fortinet reportado por Cyber Security News (publicação em 09/12/2025).