Image by Mohamed Hassan from Pixabay

Fortinet corrige falha crítica de SSO no FortiCloud

Fortinet corrige falha crítica em FortiOS, FortiWeb, FortiProxy e FortiSwitchManager que permite a invasores burlar o login SSO do FortiCloud via SAML e assumir acesso administrativo sem autenticação, exigindo atualização urgente ou desativação desse recurso.

A vulnerabilidade e produtos afetados

O problema (CWE‑347, verificação inadequada de assinatura criptográfica) está na validação das assinaturas em mensagens SAML usadas pelo FortiCloud SSO: um SAML especialmente forjado permite ao atacante pular a autenticação e obter sessão administrativa. A falha afeta FortiOS (7.0, 7.2, 7.4, 7.6), FortiWeb (7.4, 7.6, 8.0), FortiProxy (7.0, 7.2, 7.4, 7.6) e FortiSwitchManager (7.0, 7.2) quando a opção de login administrativo via FortiCloud SSO está habilitada.

Embora o FortiCloud SSO não venha ativo de fábrica, o fluxo de registro via GUI no FortiCare ativa por padrão o toggle “Allow administrative login using FortiCloud SSO”; se o admin não o desabilitar manualmente, o dispositivo passa a aceitar SSO FortiCloud e fica vulnerável ao bypass. A falha foi descoberta internamente pela equipe de Product Security da Fortinet (Yonghui Han e Theo Leleu) e divulgada em 9 de dezembro de 2025, sem indicação de exploração ativa até o momento.

Versões vulneráveis e correções

Fortinet publicou atualizações específicas para cada linha, que passam a verificar corretamente as assinaturas SAML (inclusive exigindo respostas e assertions assinadas em FortiOS recentes). Em resumo:

  • FortiOS:
    • 7.6.0–7.6.3 → atualizar para 7.6.4+
    • 7.4.0–7.4.8 → atualizar para 7.4.9+
    • 7.2.0–7.2.11 → atualizar para 7.2.12+
    • 7.0.0–7.0.17 → atualizar para 7.0.18+
    • 6.4: não afetado.
  • FortiProxy:
    • 7.6.0–7.6.3 → 7.6.4+
    • 7.4.0–7.4.10 → 7.4.11+
    • 7.2.0–7.2.14 → 7.2.15+
    • 7.0.0–7.0.21 → 7.0.22+.
  • FortiSwitchManager:
    • 7.2.0–7.2.6 → 7.2.7+
    • 7.0.0–7.0.5 → 7.0.6+.
  • FortiWeb:
    • 8.0.0 → 8.0.1+
    • 7.6.0–7.6.4 → 7.6.5+
    • 7.4.0–7.4.9 → 7.4.10+.

Mitigações imediatas recomendadas

  • Aplicar os upgrades listados o quanto antes em todos os appliances Fortinet que utilizem FortiCloud SSO para login administrativo.
  • Desabilitar temporariamente o FortiCloud SSO em dispositivos onde não seja possível atualizar de imediato, removendo a opção de “Allow administrative login using FortiCloud SSO” até a aplicação dos patches.
  • Verificar a configuração SAML (IdP) para garantir que respostas e assertions estejam devidamente assinadas e que os certificados de assinatura sejam corretos e confiáveis.
  • Revisar logs de autenticação administrativa em busca de acessos FortiCloud SSO anômalos, especialmente de IPs externos incomuns ou horários fora de padrão.

Para ambientes que dependem fortemente de SSO, é recomendável combinar a atualização com o endurecimento das integrações SAML, uso de MFA robusto e segmentação de acesso administrativo a partir de redes de gestão dedicadas.