A Fortinet é uma das principais fornecedoras globais de soluções de segurança de rede, com presença massiva em ambientes corporativos críticos. Por esse motivo, a divulgação da CVE-2026-24858, uma vulnerabilidade zero-day que afeta o FortiCloud SSO, gerou preocupação imediata entre administradores de sistemas e profissionais de cibersegurança. A falha permite bypass de autenticação e pode resultar em acesso administrativo não autorizado a dispositivos expostos.
A CVE-2026-24858 se destaca pela facilidade de exploração e pelo impacto direto em serviços de autenticação centralizada. Mesmo ambientes atualizados podem estar vulneráveis, o que torna a resposta rápida essencial para reduzir riscos enquanto a correção oficial não é disponibilizada.
Entenda a vulnerabilidade CVE-2026-24858
A CVE-2026-24858 é uma vulnerabilidade relacionada à validação inadequada de sessões no serviço FortiCloud Single Sign-On (SSO). Esse serviço é responsável por unificar a autenticação entre dispositivos Fortinet e a plataforma em nuvem da empresa, simplificando o gerenciamento remoto.
O problema ocorre quando tokens de autenticação gerados pelo FortiCloud não passam por verificações completas de integridade e origem. Um invasor remoto pode explorar essa falha para reutilizar ou forjar tokens válidos, obtendo acesso administrativo sem fornecer credenciais legítimas. Na prática, trata-se de um bypass completo do processo de autenticação.
Outro ponto crítico é que a CVE-2026-24858 não é mitigada por correções anteriores voltadas a falhas semelhantes. Isso indica que o vetor de ataque explora uma lógica diferente do fluxo de autenticação, o que explica o enquadramento como vulnerabilidade zero-day e o interesse imediato de agentes maliciosos.
Dispositivos afetados e o risco do SSO ativado
A vulnerabilidade CVE-2026-24858 impacta diferentes produtos da Fortinet quando estes estão integrados ao FortiCloud com o SSO habilitado. Entre os principais sistemas afetados estão:
FortiOS, utilizado em firewalls físicos e virtuais.
FortiManager, responsável pelo gerenciamento centralizado de múltiplos dispositivos.
FortiAnalyzer, plataforma de coleta e análise de logs de segurança.
O risco é ampliado pelo fato de que o FortiCloud SSO pode ser ativado automaticamente durante o registro do equipamento no FortiCare, especialmente em implantações rápidas ou em larga escala. Em muitos casos, administradores não percebem que o SSO está ativo, o que aumenta a superfície de ataque sem uma decisão consciente.
Uma exploração bem-sucedida da vulnerabilidade FortiCloud pode permitir alterações em políticas de firewall, criação de usuários administrativos, manipulação de túneis VPN e até persistência no ambiente, comprometendo a segurança de toda a rede corporativa.
Indicadores de comprometimento (IoCs)
Monitorar indicadores de comprometimento é essencial para identificar se a CVE-2026-24858 já foi explorada no ambiente. Investigações iniciais apontam padrões recorrentes associados às tentativas de ataque.
Entre os principais IoCs observados estão:
Contas administrativas criadas recentemente, com nomes fora do padrão organizacional, como admin.sync, cloud-support ou sso-backup.
Endereços de e-mail suspeitos associados ao FortiCloud, geralmente utilizando provedores genéricos ou temporários.
IPs de origem incomuns, frequentemente ligados a serviços de hospedagem em nuvem e não associados à infraestrutura da organização.
Também é recomendável revisar logs de autenticação em busca de sessões administrativas bem-sucedidas sem correspondência com acessos locais ou janelas de manutenção conhecidas. Qualquer atividade anômala deve ser tratada como potencial comprometimento.
Como mitigar o problema agora
Até que a Fortinet publique uma atualização oficial para corrigir a CVE-2026-24858, ações de mitigação imediatas são fundamentais. A principal recomendação é desativar o FortiCloud SSO nos dispositivos afetados.
No FortiOS, administradores devem acessar o console e aplicar comandos para:
Desabilitar a integração com o FortiCloud SSO
Revogar tokens de autenticação ativos
Encerrar sessões administrativas remotas existentes
Além disso, é essencial realizar uma auditoria completa dos logs de sistema, autenticação e configuração. Verifique alterações recentes em políticas, usuários e regras de acesso. Caso haja indícios de exploração, o isolamento do dispositivo e a ativação do plano de resposta a incidentes são medidas recomendadas.
Como reforço adicional, limite o acesso administrativo por IP confiável, reduza permissões excessivas e mantenha autenticação multifator local sempre que possível. Essas práticas não corrigem a falha, mas reduzem significativamente o impacto de uma exploração ativa.
Conclusão e próximos passos
A CVE-2026-24858 evidencia os riscos associados a serviços de autenticação centralizada quando explorados por falhas lógicas profundas. Por afetar diretamente o FortiCloud SSO, a vulnerabilidade exige atenção imediata de equipes técnicas responsáveis por ambientes Fortinet.
Enquanto a correção oficial não é disponibilizada, a combinação de mitigação manual, monitoramento contínuo e revisão de acessos é essencial para proteger a infraestrutura. A rapidez na resposta será determinante para evitar acessos não autorizados e possíveis danos operacionais.
