SSRF no FortiSandbox permite proxy para endpoints internos (CVE‑2025‑67685)
Fortinet divulgou um problema de Server‑Side Request Forgery (SSRF) no componente de GUI do FortiSandbox que permite a agentes autenticados forjar requisições para hosts internos. A falha foi advertida em 13 de janeiro de 2026 e a recomendação oficial é atualizar ou migrar para builds corrigidos.
Descoberta e escopo
O problema foi rastreado como CVE‑2025‑67685 (FG‑IR‑25‑783) e, segundo a matéria do Cyber Security News, decorre de falta de validação adequada de entradas na interface gráfica. A exploração permite que um atacante autenticado confeccione requisições HTTP que o appliance proxya para endpoints internos em texto simples (não‑TLS), limitando o alcance àquelas interfaces acessíveis via HTTP/HTTPS sem criptografia.
Vetor e limites de exploração
Fortinet classificou a severidade com um CVSSv3 de 3.4 (AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N), refletindo que a exploração exige privilégios elevados (contas administrativas ou comprometidas). Na prática, isso reduz a superfície explorável a insiders, administradores comprometidos ou cenários em que credenciais de alto nível estejam expostas.
Afectação e versões
O advisory publicado lista branches e caminhos de correção:
- 5.0: versões 5.0.0 a 5.0.4 — atualizar para 5.0.5 ou superior.
- 4.4, 4.2, 4.0: todas as releases dessas linhas — migrar para releases corrigidas (fim de vida das linhas 4.x reforça necessidade de migração).
Impacto operacional e recomendações
Embora o CVSS seja baixo, o risco operacional varia conforme a arquitetura interna da rede. Em ambientes segmentados ou air‑gapped, o SSRF para endpoints plaintext pode revelar metadados, permitir varreduras internas ou servir como primeiro passo para pivotagem quando combinado com outras falhas de configuração. Fortinet e a publicação aconselham:
- Atualizar imediatamente para as builds corrigidas disponíveis no portal FortiGuard.
- Auditar logs da GUI e tráfego interno em busca de requisições anômalas desde janeiro de 2026.
- Rever controles de acesso administrativo e rotinas de gestão de credenciais (rotacionar credenciais de administração quando suspeita de comprometimento).
Evidências e informação faltante
A publicação atribui a descoberta a Jason McFadyen (Trend Micro ZDI) e não relata evidências públicas de exploração ativa nem indicadores de comprometimento (IOCs) inclusos no post. Equipes de segurança devem consultar o advisory FortiGuard (FG‑IR‑25‑783) para changelogs, patches e IOCs oficiais.
Resumo para operadores
Trate a correção como prioritária para appliances FortiSandbox que ainda rodem versões 4.x ou 5.0.0‑5.0.4; em contextos sensíveis, considere medidas compensatórias (restrição temporária de acesso à GUI, segregação de rede de gerenciamento) enquanto realiza a atualização.