Comunicado - FortiCloud Single Sign-On (SSO) [FG-IR-25-647 e FG-IR-26-060]

Prezados,

A Fortinet recentemente publicou sobre a vulnerabilidade FG-IR-25-647 e FG-IR-26-060, que afeta o mecanismo de autenticação FortiCloud Single Sign-On (SSO), usado como alternativa para acessar plataformas como FortiOS, FortiWeb, FortiProxy e FortiSwitchManager. A falha poderia permitir que um invasor não autenticado manipulasse o fluxo de login e tentasse obter acesso indevido ao ambiente.

Por estar presente em soluções amplamente utilizadas, essa vulnerabilidade exigiu atenção imediata para evitar riscos de exploração e possíveis acessos não autorizados a dispositivos e interfaces administrativas.

O ataque se aproveita de uma deficiência no fluxo de autenticação do FortiCloud SSO, que permitia a manipulação de requisições feitas ao serviço de login. Essa interação inadequada com o servidor de autenticação criava a possibilidade de que credenciais fossem validadas de forma incorreta, abrindo margem para tentativas de acesso indevido.

A Fortinet disponibilizou atualizações que corrigem totalmente o problema e desabilitou contas usadas por possíveis atacantes. Já aplicamos todas as correções necessárias nos ambientes monitorados, garantindo a completa mitigação da vulnerabilidade.

Plataformas afetadas pela vulnerabilidade:

• FortiOs

• FortiWeb

• FortiProxy

• FortiSwitchManager

• FortiAnalyzer

• FortiManager

Reforçamos que todos os dispositivos sob nossa gestão encontram-se devidamente protegidos.

Em caso de dúvidas ou necessidade de mais informações, o SOC está à disposição.

Atenciosamente,

Equipe de SOC - Inorpel Cybersecurity

Referências:

PSIRT | FortiGuard Labs

https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/

https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/