SEK - Security Ecosystem Knowledge

SEK SECURITY ADVISORY

Vulnerabilidades Críticas no FortiCloud SSO Permitem Bypass de Autenticação em Dispositivos Fortinet
28 JANEIRO | 2026
SEVERIDADE: CRÍTICA

SEK SECURITY ADVISORY

Critical FortiCloud SSO Vulnerabilities Allow Authentication Bypass on Fortinet Devices
JANUARY 28 | 2026
SEVERITY: CRITICAL

SEK SECURITY ADVISORY

Vulnerabilidades críticas en FortiCloud SSO permiten bypass de autenticación en dispositivos Fortinet
28 ENERO | 2026
SEVERIDAD: CRÍTICA

Overview

A Fortinet divulgou três vulnerabilidades críticas relacionadas ao mecanismo de Single Sign-On (SSO) do FortiCloud que afetam múltiplos produtos da linha Fortinet. As falhas CVE-2025-59718, CVE-2025-59719 permitem que atacantes não autenticados contornem completamente a autenticação por meio de mensagens SAML manipuladas, obtendo acesso aos dispositivos sem necessidade de credenciais válidas. Já a vulnerabilidade CVE-2026-24858 possibilita que atores de ameaça usem o FortiCloud SSO para obter acesso aos dispositivos FortiAnalyzer, FortiOS e FortiManager registrados para outras contas, desde que tal autenticação esteja ativada nos outros sistemas.

Todas as três falhas receberam pontuação CVSS superior a 9.0, sendo classificadas como críticas. A Arctic Wolf Labs e outros pesquisadores confirmaram exploração ativa desde dezembro de 2025, com outras campanhas que utilizaram a CVE-2026-24858 observadas em janeiro de 2026. Nesse sentido, a CISA adicionou a CVE-2026-24858 ao catálogo KEV em 27 de janeiro de 2026, reforçando a urgência da situação.

O mecanismo das vulnerabilidades envolve verificação inadequada de assinaturas criptográficas durante o processo de autenticação SAML no fluxo SSO do FortiCloud. Segundo investigações, os atacantes exploram as falhas para criar contas de admin visando persistência, mudar configurações do firewall e extrair informações sigilosas. Evidências recentes indicam que, mesmo dispositivos com patches oficiais aplicados para as vulnerabilidades antigas permaneceram vulneráveis, com atacantes utilizando outro caminho para as invasões.

Como resposta à exploração ativa, a Fortinet implementou medidas de mitigação progressivas. Em 22 de janeiro, bloqueou as contas FortiCloud maliciosas identificadas. Em 26, desabilitou globalmente o FortiCloud SSO do lado do servidor para prevenir novos abusos. Um dia depois, reativou o serviço com restrições que impedem autenticação SSO de dispositivos executando versões vulneráveis de firmware. A companhia afirmou que a mudança bloqueia a exploração mesmo que o FortiCloud SSO permaneça habilitado nos dispositivos afetados. A Fortinet começou a liberar patches definitivos em 28 de janeiro, com FortiOS 7.4.11 e FortiAnalyzer 7.4.10 disponíveis. Outras versões estão previstas para lançamentos em breve.

Produtos Afetados

CVE Severidade Produto Afetado
CVE-2025-59718 Crítica FortiOS 7.0.0-7.0.17, 7.2.0-7.2.11, 7.4.0-7.4.8, 7.6.0-7.6.3
FortiProxy 7.0.0-7.0.21, 7.2.0-7.2.14, 7.4.0-7.4.10, 7.6.0-7.6.3
FortiSwitchManager 7.0.0-7.0.5, 7.2.0-7.2.6
CVE-2025-59719 Crítica FortiOS 7.0.0-7.0.17, 7.2.0-7.2.11, 7.4.0-7.4.8, 7.6.0-7.6.3
FortiProxy 7.0.0-7.0.21, 7.2.0-7.2.14, 7.4.0-7.4.10, 7.6.0-7.6.3
FortiSwitchManager 7.0.0-7.0.5, 7.2.0-7.2.6
CVE-2026-24858 Crítica FortiOS 7.0.0-7.0.18, 7.2.0-7.2.12, 7.4.0-7.4.10, 7.6.0-7.6.5
FortiProxy 7.0.x (todas), 7.2.x (todas), 7.4.0-7.4.12, 7.6.0-7.6.4
FortiManager 7.0.0-7.0.15, 7.2.0-7.2.11, 7.4.0-7.4.9, 7.6.0-7.6.5
FortiAnalyzer 7.0.0-7.0.15, 7.2.0-7.2.11, 7.4.0-7.4.9, 7.6.0-7.6.5
FortiWeb 7.4.0-7.4.11, 7.6.0-7.6.6, 8.0.0-8.0.3

Nota: Apenas dispositivos com FortiCloud SSO habilitado são vulneráveis. Fortinet implementou mitigação server-side em 26-27 de janeiro de 2026 que bloqueia autenticação SSO de versões vulneráveis, mas a atualização para versões corrigidas, que serão publicadas em breve, permanece importante.

Recomendações

  • Atualizar imediatamente todos os dispositivos Fortinet para as versões corrigidas conforme forem divulgados os updates.
  • Desabilitar o FortiCloud SSO em dispositivos que não puderem ser atualizados imediatamente.
  • Conduzir auditoria forense imediata em todos os dispositivos Fortinet buscando contas administrativas suspeitas criadas recentemente.
  • Revisar logs de autenticação SSO em busca de logins bem-sucedidos originados dos IPs conhecidos como maliciosos, disponíveis no link.
  • Alterar todas as credenciais administrativas em dispositivos potencialmente comprometidos.
  • Considerar implementação de autenticação multifator (MFA) adicional para acesso administrativo.
  • Monitorar a criação de novas contas administrativas e modificações não autorizadas nas configurações de firewall.

Fontes

Overview

Fortinet disclosed three critical vulnerabilities related to the FortiCloud Single Sign-On (SSO) mechanism affecting multiple Fortinet product lines. The flaws CVE-2025-59718 and CVE-2025-59719 allow unauthenticated attackers to completely bypass authentication through manipulated SAML messages, gaining access to devices without valid credentials. The vulnerability CVE-2026-24858 enables threat actors to use FortiCloud SSO to gain access to FortiAnalyzer, FortiOS, and FortiManager devices registered to other accounts, provided such authentication is enabled on those systems.

All three flaws received CVSS scores above 9.0, classified as critical. Arctic Wolf Labs and other researchers confirmed active exploitation since December 2025, with additional campaigns leveraging CVE-2026-24858 observed in January 2026. CISA added CVE-2026-24858 to the KEV catalog on January 27, 2026, reinforcing the urgency of the situation.

The vulnerability mechanism involves inadequate verification of cryptographic signatures during the SAML authentication process in the FortiCloud SSO flow. According to investigations, attackers exploit these flaws to create admin accounts for persistence, modify firewall configurations, and extract sensitive information. Recent evidence indicates that even devices with official patches applied for the older vulnerabilities remained vulnerable, with attackers using an alternate path for intrusions.

In response to active exploitation, Fortinet implemented progressive mitigation measures. On January 22, it blocked identified malicious FortiCloud accounts. On January 26, it globally disabled FortiCloud SSO server-side to prevent further abuse. A day later, it reactivated the service with restrictions that prevent SSO authentication from devices running vulnerable firmware versions. The company stated that this change blocks exploitation even if FortiCloud SSO remains enabled on affected devices. Fortinet began releasing definitive patches on January 28, with FortiOS 7.4.11 and FortiAnalyzer 7.4.10 available. Other versions are scheduled for release soon.

Affected Products

CVE Severity Affected Product
CVE-2025-59718 Critical FortiOS 7.0.0-7.0.17, 7.2.0-7.2.11, 7.4.0-7.4.8, 7.6.0-7.6.3
FortiProxy 7.0.0-7.0.21, 7.2.0-7.2.14, 7.4.0-7.4.10, 7.6.0-7.6.3
FortiSwitchManager 7.0.0-7.0.5, 7.2.0-7.2.6
CVE-2025-59719 Critical FortiOS 7.0.0-7.0.17, 7.2.0-7.2.11, 7.4.0-7.4.8, 7.6.0-7.6.3
FortiProxy 7.0.0-7.0.21, 7.2.0-7.2.14, 7.4.0-7.4.10, 7.6.0-7.6.3
FortiSwitchManager 7.0.0-7.0.5, 7.2.0-7.2.6
CVE-2026-24858 Critical FortiOS 7.0.0-7.0.18, 7.2.0-7.2.12, 7.4.0-7.4.10, 7.6.0-7.6.5
FortiProxy 7.0.x (all), 7.2.x (all), 7.4.0-7.4.12, 7.6.0-7.6.4
FortiManager 7.0.0-7.0.15, 7.2.0-7.2.11, 7.4.0-7.4.9, 7.6.0-7.6.5
FortiAnalyzer 7.0.0-7.0.15, 7.2.0-7.2.11, 7.4.0-7.4.9, 7.6.0-7.6.5
FortiWeb 7.4.0-7.4.11, 7.6.0-7.6.6, 8.0.0-8.0.3

Note: Only devices with FortiCloud SSO enabled are vulnerable. Fortinet implemented server-side mitigation on January 26-27, 2026, which blocks SSO authentication from vulnerable versions, but updating to fixed versions, which will be released soon, remains important.

Recommendations

  • Immediately update all Fortinet devices to fixed versions as updates are released.
  • Disable FortiCloud SSO on devices that cannot be updated immediately.
  • Conduct immediate forensic audit on all Fortinet devices looking for recently created suspicious administrative accounts.
  • Review SSO authentication logs for successful logins originating from known malicious IPs, available at the link.
  • Change all administrative credentials on potentially compromised devices.
  • Consider implementing additional multi-factor authentication (MFA) for administrative access.
  • Monitor the creation of new administrative accounts and unauthorized modifications to firewall configurations.

Sources

Overview

Fortinet divulgó tres vulnerabilidades críticas relacionadas con el mecanismo de Single Sign-On (SSO) de FortiCloud que afectan a múltiples productos de la línea Fortinet. Las fallas CVE-2025-59718 y CVE-2025-59719 permiten que atacantes no autenticados eviten completamente la autenticación mediante mensajes SAML manipulados, obteniendo acceso a los dispositivos sin necesidad de credenciales válidas. La vulnerabilidad CVE-2026-24858 posibilita que actores de amenaza utilicen FortiCloud SSO para obtener acceso a dispositivos FortiAnalyzer, FortiOS y FortiManager registrados en otras cuentas, siempre que dicha autenticación esté habilitada en esos sistemas.

Las tres fallas recibieron puntuaciones CVSS superiores a 9.0, clasificándose como críticas. Arctic Wolf Labs y otros investigadores confirmaron explotación activa desde diciembre de 2025, con campañas adicionales que utilizaron CVE-2026-24858 observadas en enero de 2026. CISA agregó CVE-2026-24858 al catálogo KEV el 27 de enero de 2026, reforzando la urgencia de la situación.

El mecanismo de las vulnerabilidades involucra verificación inadecuada de firmas criptográficas durante el proceso de autenticación SAML en el flujo SSO de FortiCloud. Según las investigaciones, los atacantes explotan estas fallas para crear cuentas de administrador con fines de persistencia, modificar configuraciones del firewall y extraer información confidencial. Evidencia reciente indica que incluso dispositivos con parches oficiales aplicados para las vulnerabilidades antiguas permanecieron vulnerables, con atacantes utilizando una vía alternativa para las intrusiones.

Como respuesta a la explotación activa, Fortinet implementó medidas de mitigación progresivas. El 22 de enero, bloqueó las cuentas FortiCloud maliciosas identificadas. El 26, deshabilitó globalmente FortiCloud SSO del lado del servidor para prevenir nuevos abusos. Un día después, reactivó el servicio con restricciones que impiden la autenticación SSO de dispositivos que ejecutan versiones vulnerables de firmware. La compañía afirmó que este cambio bloquea la explotación incluso si FortiCloud SSO permanece habilitado en los dispositivos afectados. Fortinet comenzó a liberar parches definitivos el 28 de enero, con FortiOS 7.4.11 y FortiAnalyzer 7.4.10 disponibles. Otras versiones están programadas para lanzamientos próximos.

Productos Afectados

CVE Severidad Producto Afectado
CVE-2025-59718 Crítica FortiOS 7.0.0-7.0.17, 7.2.0-7.2.11, 7.4.0-7.4.8, 7.6.0-7.6.3
FortiProxy 7.0.0-7.0.21, 7.2.0-7.2.14, 7.4.0-7.4.10, 7.6.0-7.6.3
FortiSwitchManager 7.0.0-7.0.5, 7.2.0-7.2.6
CVE-2025-59719 Crítica FortiOS 7.0.0-7.0.17, 7.2.0-7.2.11, 7.4.0-7.4.8, 7.6.0-7.6.3
FortiProxy 7.0.0-7.0.21, 7.2.0-7.2.14, 7.4.0-7.4.10, 7.6.0-7.6.3
FortiSwitchManager 7.0.0-7.0.5, 7.2.0-7.2.6
CVE-2026-24858 Crítica FortiOS 7.0.0-7.0.18, 7.2.0-7.2.12, 7.4.0-7.4.10, 7.6.0-7.6.5
FortiProxy 7.0.x (todas), 7.2.x (todas), 7.4.0-7.4.12, 7.6.0-7.6.4
FortiManager 7.0.0-7.0.15, 7.2.0-7.2.11, 7.4.0-7.4.9, 7.6.0-7.6.5
FortiAnalyzer 7.0.0-7.0.15, 7.2.0-7.2.11, 7.4.0-7.4.9, 7.6.0-7.6.5
FortiWeb 7.4.0-7.4.11, 7.6.0-7.6.6, 8.0.0-8.0.3

Nota: Solo los dispositivos con FortiCloud SSO habilitado son vulnerables. Fortinet implementó mitigación del lado del servidor el 26-27 de enero de 2026 que bloquea la autenticación SSO de versiones vulnerables, pero la actualización a versiones corregidas, que se publicarán próximamente, sigue siendo importante.

Recomendaciones

  • Actualizar inmediatamente todos los dispositivos Fortinet a las versiones corregidas conforme se publiquen las actualizaciones.
  • Deshabilitar FortiCloud SSO en dispositivos que no puedan actualizarse de inmediato.
  • Realizar auditoría forense inmediata en todos los dispositivos Fortinet buscando cuentas administrativas sospechosas creadas recientemente.
  • Revisar registros de autenticación SSO en busca de inicios de sesión exitosos originados desde las IPs conocidas como maliciosas, disponibles en el enlace.
  • Cambiar todas las credenciales administrativas en dispositivos potencialmente comprometidos.
  • Considerar la implementación de autenticación multifactor (MFA) adicional para acceso administrativo.
  • Monitorear la creación de nuevas cuentas administrativas y modificaciones no autorizadas en las configuraciones del firewall.

Fuentes

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos

SEK Content Hub

Access our content hub and check out the latest reports and news on cybersecurity.

Access Content Hub

Central de Contenidos SEK

Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.

Acceder a la Central de Contenidos