Firewalls da Fortinet sob ataque ativo: falha crítica no SSO permite burlar autenticação

Falha crítica da Fortinet escala para exploração ativa, ameaçando perímetros de rede

Equipes de segurança de rede em todo o mundo enfrentam um imperativo urgente de aplicação de patches, pois uma vulnerabilidade crítica de bypass de autenticação nos principais appliances de segurança da Fortinet transitou de um aviso teórico para ataques ativos no mundo real. A falha, um problema grave no componente de Single Sign-On (SSO) baseado em Security Assertion Markup Language (SAML), permite que atacantes remotos não autenticados contornem completamente as proteções de login e obtenham controle administrativo sobre os firewalls de última geração FortiGate e os gateways web seguros FortiProxy afetados.

Rastreada como CVE-2024-21762, essa vulnerabilidade recebeu uma classificação de severidade crítica devido à sua baixa complexidade de ataque e à consequência de alto impacto do comprometimento total do sistema. Pesquisadores de segurança e a própria Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da Fortinet confirmaram a observação de tentativas de exploração ativas contra dispositivos não corrigidos expostos à internet. Esse desenvolvimento transforma o cenário de ameaças, movendo a vulnerabilidade de um item para corrigir quando possível para uma emergência de correção imediata para qualquer organização que use os produtos afetados.

Análise técnica: O mecanismo de bypass do SSO SAML

A vulnerabilidade reside na implementação do serviço de autenticação SSO SAML dentro do software FortiOS e FortiProxy. SAML é um padrão aberto amplamente adotado para trocar dados de autenticação e autorização entre provedores de identidade e provedores de serviços, comumente usado em ambientes corporativos para permitir acesso contínuo a múltiplos aplicativos com um único login.

Em um fluxo SAML que funciona corretamente, a identidade de um usuário é verificada por um Provedor de Identidade (IdP) confiável, que então gera uma asserção assinada criptograficamente. Essa asserção é apresentada ao Provedor de Serviço (SP) — neste caso, o dispositivo Fortinet —, que valida a assinatura e concede acesso. A falha na implementação da Fortinet permite que um atacante manipule ou falsifique esse processo, enganando o dispositivo para que aceite um usuário não autorizado como um administrador legítimo e autenticado sem nunca contatar o IdP legítimo.

A exploração não requer acesso prévio nem credenciais de usuário válidas. Um atacante pode enviar requisições HTTP especialmente manipuladas para o endpoint SAML vulnerável na interface de gerenciamento do dispositivo. Uma exploração bem-sucedida concede ao atacante o mesmo nível de acesso de um administrador de rede, permitindo criar novas contas de usuário, alterar políticas de rede, interceptar tráfego, instalar backdoors persistentes e usar o dispositivo comprometido como uma posição para movimento lateral na rede interna.

Produtos afetados e imperativo de correção

A Fortinet identificou e liberou correções para as seguintes versões de software afetadas:

Organizações executando essas versões devem atualizar para as versões corrigidas imediatamente: FortiOS 7.4.3 ou superior, 7.2.7 ou superior, 7.0.14 ou superior; e FortiProxy 7.4.3 ou superior ou 7.2.9 ou superior. A Fortinet observa que as versões 6.4, 6.2, 6.0 e anteriores não são afetadas por essa vulnerabilidade específica.

Dada a exploração ativa, a aplicação de patches é a mitigação primária e não negociável. Para dispositivos que não possam ser corrigidos imediatamente, a Fortinet recomenda implementar listas de controle de acesso (ACLs) estritas para limitar o acesso à interface de gerenciamento apenas a endereços IP confiáveis. No entanto, esta é uma solução temporária, pois a vulnerabilidade subjacente permanece. Administradores de rede também devem revisar os logs em busca de quaisquer tentativas suspeitas de autenticação ou criação inesperada de usuários administrativos, particularmente de IPs de origem não familiares.

Implicações mais amplas para a segurança corporativa

A exploração ativa da CVE-2024-21762 carrega implicações significativas além da necessidade imediata de correção. Primeiro, destaca o risco extremo representado por vulnerabilidades em appliances de segurança voltados para a internet. Esses dispositivos são projetados para ser a primeira linha de defesa; quando comprometidos, eles não apenas falham em seu papel protetor, mas se tornam ferramentas poderosas para o atacante.

Segundo, a localização da falha em um protocolo de autenticação central como o SSO SAML é particularmente preocupante. O SAML é confiável precisamente porque foi projetado para ser seguro e padronizado. Um bypass nesse nível mina um mecanismo de confiança fundamental para inúmeras empresas que dependem de identidade federada para acesso seguro.

Finalmente, esse evento reforça a importância crítica da velocidade do ciclo de vida de gerenciamento de vulnerabilidades. A janela entre a disponibilidade do patch e a exploração ativa está diminuindo drasticamente. As equipes de segurança devem priorizar o teste e a implantação rápidos de patches para dispositivos de perímetro, especialmente aqueles que lidam com autenticação. O gerenciamento automatizado de patches e sistemas robustos de inventário de ativos não são mais apenas melhores práticas, mas componentes essenciais de uma estratégia defensiva capaz de responder a ameaças de tão alta velocidade.

Enquanto agentes de ameaças continuam a escanear e a armar essa falha, a responsabilidade recai sobre os defensores da rede para agir com urgência. O comprometimento de um firewall de rede é um evento catastrófico que pode levar à exfiltração de dados, implantação de ransomware e severa interrupção operacional. A ação imediata para identificar, corrigir e monitorar os dispositivos Fortinet afetados é a única resposta eficaz a este perigo real e presente.