# CVE-2024-55591 - FortiOS/FortiProxy Authentication Bypass (Super-Admin) > [!danger] Zero-Day Explorado desde Novembro/2024 - CISA KEV > Vulnerabilidade crítica de bypass de autenticação no FortiOS e FortiProxy permite escalação a super-admin sem credenciais. CVSS 9.8, EPSS 94%. Exploração ativa como zero-day desde novembro de 2024, afetando mais de 48.000 dispositivos expostos. Patch disponível. ## Visão Geral CVE-2024-55591 é uma vulnerabilidade crítica de **bypass de autenticação** (*Authentication Bypass Using an Alternate Path or Channel*, CWE-288) nos produtos [[vendors/fortinet/fortios|FortiOS]] e FortiProxy da [[vendors/fortinet/_fortinet|Fortinet]]. A falha permite que um atacante remoto não autenticado obtenha privilégios de **super-administrador** por meio de requisições especialmente construídas direcionadas ao módulo Node.js WebSocket. A vulnerabilidade estava sendo explorada como zero-day desde novembro de 2024, afetando aproximadamente 48.000 dispositivos voltados para a internet no momento da divulgação. A CISA adicionou imediatamente a CVE ao catálogo KEV no dia da divulgação pública, em 14 de janeiro de 2025. ## Detalhes Técnicos - **Tipo:** Authentication Bypass - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Sim - **Versões afetadas:** FortiOS 7.0.0 a 7.0.16; FortiProxy 7.0.0 a 7.0.19 e 7.2.0 a 7.2.12 - **Versão corrigida:** FortiOS 7.0.17+; FortiProxy 7.2.13+, 7.0.20+ - **CWE:** CWE-288 (Authentication Bypass Using an Alternate Path or Channel) ### Funcionamento Técnico A vulnerabilidade explora uma falha na forma como o módulo Node.js WebSocket do FortiOS/FortiProxy processa requisições de autenticação. Um atacante envia requisições WebSocket especialmente construídas que contornam os mecanismos de autenticação do dispositivo, obtendo acesso com privilégios de super-admin sem necessidade de credenciais. Após comprometimento, os atacantes foram observados realizando as seguintes ações: login administrativo não autorizado, criação de novos usuários administradores com nomes gerados aleatoriamente, adição de contas ao grupos SSL-VPN, modificação de configurações do firewall e roubo de credenciais armazenadas. ## Exploração A Arctic Wolf identificou atividade de exploração datando de meados de novembro de 2024 - mais de dois meses antes da divulgação pública em 14 de janeiro de 2025. A campanha passou por fases documentadas: *scanning*, login administrativo não autorizado, sequestro de contas e movimentação lateral. Mais de 48.000 dispositivos FortiOS/FortiProxy estavam expostos à internet no momento da divulgação, com 16% localizados nos Estados Unidos. A Fortinet confirmou em seu advisory (FG-IR-24-535) que a vulnerabilidade estava sendo explorada ativamente. A CISA determinou prazo de remediação de apenas 7 dias (até 21 de janeiro de 2025) para agências federais, sinalizando a criticidade da ameaça. Um script de detecção (não exploit completo) foi públicado pelo WatchTowr Labs. Para contexto comparativo, esta vulnerabilidade segue padrão similar à [[cve-2024-47575|CVE-2024-47575]] no FortiManager. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por interfaces admin<br/>FortiOS expostas (48k+)"] --> B["💥 Auth Bypass<br/>Requisição WebSocket<br/>ao módulo Node.js"] B --> C["🔑 Super-Admin<br/>Acesso completo ao<br/>painel administrativo"] C --> D["🔑 Criação de Contas<br/>Novos admins com nomes<br/>aleatórios + SSL-VPN"] D --> E["🛡️ Modificação de Config<br/>Alteração de regras<br/>de firewall e VPN"] E --> F["📤 Roubo de Credenciais<br/>Acesso a configurações<br/>e dados armazenados"] F --> G["🔗 Movimentação Lateral<br/>Pivot via SSL-VPN<br/>para rede interna"] ``` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > A Fortinet é a líder de mercado em firewalls e segurança de rede no Brasil e na América Latina, com presença massiva em organizações de todos os portes. Dispositivos FortiGate são onipresentes em infraestruturas de governo, instituições financeiras, operadoras de telecomúnicações e empresas do setor de energia. O Brasil possui uma das maiores bases instaladas de dispositivos Fortinet na região, com FortiGate sendo o firewall de escolha para muitas organizações de médio e grande porte. A exposição de interfaces de gerenciamento à internet é um problema recorrente - no momento da divulgação, mais de 48.000 dispositivos estavam acessíveis globalmente, e estima-se que uma parcela significativa esteja na América Latina. O padrão de exploração de interfaces de gerenciamento [[vendors/fortinet/_fortinet|Fortinet]] é consistente com TTPs de grupos avançados como [[g1017-volt-typhoon|Volt Typhoon]] e [[unc5820|UNC5820]], que historicamente visam infraestrutura crítica. Para organizações brasileiras, especialmente nos setores [[government|governo]], [[financial|financeiro]] e [[telecommunications|telecomúnicações]], a recomendação é verificar imediatamente se interfaces administrativas de dispositivos FortiOS/FortiProxy estão expostas à internet e aplicar o patch sem demora. A CISA determinou prazo de remediação de apenas 7 dias, sinalizando criticidade extrema. ## Mitigação 1. Atualizar imediatamente o FortiOS para versão 7.0.17 ou superior; FortiProxy para 7.2.13+ ou 7.0.20+ 2. Desabilitar a interface HTTP/HTTPS administrativa ou restringi-la a IPs confiáveis via `local-in policies` 3. Remover exposição pública de interfaces de gerenciamento de dispositivos de rede 4. Monitorar logins administrativos inesperados, criação de contas e alterações de configuração a partir de IPs de provedores VPS 5. Verificar indicadores de comprometimento: contas admin com nomes aleatórios, modificações nos grupos SSL-VPN ## Referências - [NVD - CVE-2024-55591](https://nvd.nist.gov/vuln/detail/CVE-2024-55591) - [Fortinet PSIRT Advisory FG-IR-24-535](https://www.fortiguard.com/psirt/FG-IR-24-535) - [CISA KEV - Adição em 14/01/2025](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Censys - 51.000 dispositivos expostos](https://censys.com/advisory/CVE-2024-55591/) - [Picus Security - Análise técnica](https://www.picussecurity.com/resource/blog/CVE-2024-55591-fortinet-vulnerability) ## Notas Relacionadas **CVEs relacionados:** [[cve-2023-27997|CVE-2023-27997 (XORtigate)]] · [[cve-2024-21762|CVE-2024-21762]] · [[cve-2024-47575|CVE-2024-47575 (FortiManager)]] · [[cve-2024-23113|CVE-2024-23113]] **Atores associados:** [[g1017-volt-typhoon|Volt Typhoon]] · [[unc5820|UNC5820]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1021-remote-services|T1021 - Remote Services]] · [[t1562-impair-defenses|T1562 - Impair Defenses]] **Vendor:** [[vendors/fortinet/_fortinet|Fortinet]] · [[vendors/fortinet/fortios|FortiOS]] **Setores em risco:** [[government|governo]] · [[financial|financeiro]] · [[telecommunications|telecomúnicações]] · [[energy|energia]] · [[critical-infrastructure|infraestrutura crítica]] **Mitigações:** [[M1051|M1051 - Update Software]] · [[M1030|M1030 - Network Segmentation]] Esta CVE é a segunda grande vulnerabilidade crítica de autenticação na família FortiOS em menos de dois anos, sucedendo a [[cve-2023-27997|CVE-2023-27997]] (XORtigate, heap overflow SSL-VPN) e a [[cve-2024-21762|CVE-2024-21762]] (out-of-bounds write). O padrão de exploração de interfaces de gerenciamento Fortinet expostas é consistente com TTPs de grupos avançados como [[g1017-volt-typhoon|Volt Typhoon]] e [[unc5820|UNC5820]].