# FortiOS > os · Vendor: [[_fortinet|Fortinet]] ## Visão Geral **FortiOS** é o sistema operacional proprietário da Fortinet que roda em todos os appliances [[fortigaté|FortiGaté]], bem como em diversas outras plataformas da família Fortinet, incluindo [[fortiweb|FortiWeb]], [[fortiproxy|FortiProxy]] e [[fortipam|FortiPAM]]. É o núcleo funcional da segurança Fortinet: gerencia políticas de firewall, VPN, inspeção SSL, IPS, controle de aplicações e integração com o ecossistema Fortinet Security Fabric. Do ponto de vista de CTI, o FortiOS é uma superfície de ataque crítica por conta de sua ampla adoção global. No Brasil, a Fortinet detém mais de 50% do market share em firewalls corporativos, o que torna cada vulnerabilidade crítica no FortiOS um risco sistêmico para organizações financeiras, governamentais e de infraestrutura crítica no país. A [[cve-2024-23113|CVE-2024-23113]], catalogada na CISA KEV, é a vulnerabilidade mais grave afetando o FortiOS em 2024. A [[cve-2024-23113|CVE-2024-23113]] é uma falha de format string no daemon `fgfmd` (FortiGaté-to-FortiManager protocol daemon), com CVSS 9.8, que permite execução remota de código sem autenticação. Foi explorada pelo [[g1017-volt-typhoon|Volt Typhoon]] como parte de campanhas de espionagem direcionadas a infraestrutura crítica americana e por aliados do [[g0016-apt29|APT29]] em operações de acesso inicial a redes governamentais europeias. A presença dessa CVE na lista CISA KEV confirma exploração ativa em ambiente real. ## Vulnerabilidades Conhecidas <!-- Tabela estática para Obsidian Publish --> | CVE | CVSS | Tipo | Exploração | Patch Disponível | Data | |-----|------|------|------------|-----------------|------| | [[cve-2024-23113\|CVE-2024-23113]] | 9.8 | Format string no daemon fgfmd - RCE sem autenticação | Ativa - CISA KEV confirmado | Sim | 2024-02-08 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Tipo de Exploração", cisa-kev AS "CISA KEV", patch-available AS "Patch" FROM "vulnerabilities" WHERE contains(product, "FortiOS") SORT cvss-score DESC ``` %% ## Uso por Atores de Ameaça O FortiOS é alvo prioritário de atores de ameaça avançados por representar o ponto de controle central da segurança de rede das organizações: - **[[g1017-volt-typhoon|Volt Typhoon]]** - Ator alinhado à China, focado em infraestrutura crítica americana. Explorou ativamente dispositivos FortiGaté/FortiOS como vetor de acesso inicial em campanhas documentadas pela CISA e pelo FBI em 2024. Estabelece persistência através de técnicas de Living off the Land ([[t1036-masquerading|T1036 - Masquerading]]) dentro do FortiOS para evitar detecção. - **[[g0016-apt29|APT29]]** - Também conhecido como Cozy Bear, alinhado ao SVR russo. Historicamente explora appliances de borda (VPN, firewall) como primeiro estágio de comprometimento de redes governamentais e de defesa. Tem interesse documentado em dispositivos FortiOS como ponto de entrada em redes de alta segurança. A exploração do FortiOS é particularmente preocupante no Brasil dado o volume de dispositivos expostos à internet: scanners públicos como Shodan e Censys identificam regularmente milhares de interfaces FortiGaté acessíveis no range de IPs brasileiros. > [!latam] Relevância para Brasil e LATAM > A Fortinet detém mais de 50% do market share em firewalls no Brasil. Com milhares de appliances FortiOS expostos em ranges de IP brasileiros (conforme rastreamento Shodan/Censys), cada vulnerabilidade crítica - especialmente as na lista CISA KEV como CVE-2024-23113 - representa risco sistêmico para a infraestrutura digital nacional. ## Notas Relacionadas **Produto:** [[_fortinet|Fortinet]] · [[fortigaté|FortiGaté]] · [[fortimanager|FortiManager]] · [[fortiweb|FortiWeb]] · [[fortiproxy|FortiProxy]] · [[fortipam|FortiPAM]] **CVEs:** [[cve-2024-23113|CVE-2024-23113]] **Atores:** [[g1017-volt-typhoon|Volt Typhoon]] · [[g0016-apt29|APT29]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1133-external-remote-services|T1133 - External Remote Services]] · [[t1036-masquerading|T1036 - Masquerading]]