Hack Alerta

Falha crítica em FortiOS/FortiSwitchManager permite RCE sem autenticação

Por Redação Hack Alerta Publicado em 13/01/2026 14:01 Riscos e Ameaças Tempo de leitura: 3 min

Fortinet divulgou em 13/01/2026 uma vulnerabilidade crítica (heap overflow) no daemon cw_acd de FortiOS e FortiSwitchManager que permite execução remota de código sem autenticação. A fabricante lista versões afetadas e caminhos de correção, além de mitigação temporária (remover "fabric" de allowaccess e bloquear UDP 5246–5249). Adotar patch imediato e monitoramento de logs é recomendado.

Fortinet divulgou uma vulnerabilidade crítica de estouro de buffer (heap-based) no daemon cw_acd que permite execução remota de código sem autenticação. A fabricante recomenda atualização imediata e fornece mitigação temporária enquanto administradores aplicam os upgrades.

Impacto e escopo

Segundo o relatório publicado em 13 de janeiro de 2026, a falha (CWE-122) afeta múltiplas branches do FortiOS, releases do FortiSASE e versões do FortiSwitchManager. A exploração permite que um atacante remoto e não autenticado envie requisições especialmente forjadas e obtenha execução arbitrária de comandos ou código com potencial de comprometimento total do equipamento.

Versões afetadas e correção

  • FortiOS 7.6: 7.6.0 até 7.6.3 — atualizar para 7.6.4 ou superior;
  • FortiOS 7.4: 7.4.0 até 7.4.8 — atualizar para 7.4.9 ou superior;
  • FortiOS 7.2: 7.2.0 até 7.2.11 — atualizar para 7.2.12 ou superior;
  • FortiOS 7.0: 7.0.0 até 7.0.17 — atualizar para 7.0.18 ou superior;
  • FortiOS 6.4: 6.4.0 até 6.4.16 — atualizar para 6.4.17 ou superior;
  • FortiSASE 25.2.b: já corrigido em 25.2.c; outras/releases específicas listadas pelo fornecedor;
  • FortiSwitchManager 7.2.0 até 7.2.6 — atualizar para 7.2.7 ou superior; 7.0.0 até 7.0.5 — atualizar para 7.0.6 ou superior.

Medições de mitigação recomendadas

Enquanto não for possível aplicar as atualizações, a Fortinet sugere duas medidas mitigatórias principais:

  • Desabilitar o acesso “fabric” nas interfaces de gestão (ex.: remover "fabric" do set allowaccess nas configurações de interface);
  • Bloquear tráfego CAPWAP-CONTROL (UDP 5246–5249) por políticas de local-in, permitindo apenas fontes confiáveis.

Além disso, a fabricante orienta monitorar logs em busca de atividade anômala relacionada ao processo cw_acd e segmentar interfaces de gerenciamento para reduzir exposição.

Limitações das informações públicas

A publicação indica que a vulnerabilidade foi descoberta internamente pela equipe de Product Security da Fortinet (membro citado: Gwendal Guégniaud) e divulgada em 13/01/2026. Até o momento da matéria não há identificação de CVE atribuída no texto da fonte; a Fortinet, entretanto, já liberou caminhos de correção e recomenda priorização do patch.

O que operadores e CISOs devem fazer agora

  • Mapear imediatamente inventário de appliances Fortinet expostos, com atenção a firewalls, SASE e ferramentas de gerenciamento de switch;
  • Priorizar atualização para as versões corrigidas indicadas pela Fortinet usando a ferramenta de upgrade oficial;
  • Aplicar mitigação de bloqueio de CAPWAP e remover "fabric" de allowaccess onde aplicável;
  • Revisar logs e procurar sinais de exploração no cw_acd; isolar dispositivos suspeitos e seguir procedimentos de resposta a incidentes.

Esta é uma falha com alto potencial de impacto operacional, especialmente em ambientes onde interfaces de gestão e overlays de fabric estão acessíveis a redes não confiáveis. Organizações que dependem de appliances Fortinet em perímetro, SASE e gestão de switches devem tratar essa atualização como crítica.

Baseado em publicação original de Cyber Security News
Tags: #fortinet #fortios #rce #vulnerabilidade #patch #fortiswitchmanager #capwap
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar