# CVE-2026-24858 - Fortinet FortiCloud SSO Zero-Day Compromete Dispositivos de Múltiplos Clientes
> [!critical] Zero-Day Ativo - Bypass de Autenticação SSO Compromete Múltiplas Organizações
> Vulnerabilidade CVSS 9.8 no FortiCloud SSO permite bypass de autenticação via SAML, dando acesso super_admin a dispositivos FortiGate de múltiplos clientes. CISA KEV desde 27/01/2026. Campanhas automatizadas criando contas administrativas maliciosas em segundos.
## Visão Geral
**CVE-2026-24858** é uma vulnerabilidade crítica de **bypass de autenticação SSO** no FortiCloud, afetando múltiplos produtos Fortinet incluindo **FortiOS**, **FortiManager**, **FortiAnalyzer**, **FortiWeb** e **FortiProxy**. A falha permite que um atacante com uma conta FortiCloud e um dispositivo registrado forje **mensagens SAML maliciosas** para autenticar-se em dispositivos de **outras organizações**, obtendo acesso com privilégios de `super_admin`.
A exploração, observada desde aproximadamente 15 de janeiro de 2026, é notável pela **velocidade e automação** - atacantes obtêm acesso e executam ações maliciosas em questão de **segundos** após o login inicial. Os IPs de origem identificados incluem `104.28.244.115` e `104.28.212.114`. A atividade apresenta conexão com campanhas anteriores de dezembro de 2025 que exploraram CVE-2025-59718 e CVE-2025-59719, sugerindo um ator persistente focado em infraestrutura [[_fortinet|Fortinet]].
As contas SSO utilizadas como ponto de entrada são **`
[email protected]`** e **`
[email protected]`**, a partir das quais os atacantes executam uma cadeia automatizada: (1) download/exfiltração de configurações de firewall, (2) criação de contas administrativas locais persistentes (`secadmin`, `itadmin`, `audit`, `backup`, `support` com perfil `super_admin`), e (3) modificação de configurações para conceder acesso VPN a essas contas.
O impacto é amplificado pelo fato de que as **configurações de firewall exfiltradas** contêm informações sensíveis como topologia de rede, regras de acesso, credenciais VPN e certificados - dados que alimentam ataques subsequentes mais sofisticados.
## Attack Flow
```mermaid
graph TB
A["📡 Acesso Inicial<br/>Login SSO via<br/>
[email protected]"] --> B["💥 Bypass SAML<br/>Autenticação em<br/>dispositivos de terceiros"]
B --> C["🔑 Super Admin<br/>Acesso total ao<br/>FortiGate da vítima"]
C --> D["📤 Exfiltração<br/>Download de configs<br/>de firewall completas"]
D --> E["🛡️ Persistência<br/>Criação de contas locais<br/>secadmin, itadmin, audit"]
E --> F["🔗 Acesso VPN<br/>Modificação de config<br/>para acesso VPN remoto"]
```
## TTPs Mapeados
| Tática | Técnica | Descrição |
|--------|---------|-----------|
| Initial Access | [[t1078-valid-accounts\|T1078]] | Bypass de autenticação SSO via SAML forjado |
| Persistence | [[t1136-create-account\|T1136]] | Criação de contas locais (secadmin, itadmin, audit) |
| Credential Access | [[t1556-modify-authentication-process\|T1556]] | Modificação de configurações VPN |
| Collection | [[t1005-data-from-local-system\|T1005]] | Download de configurações de firewall |
| Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de configs contendo credenciais e topologia |
| Persistence | [[t1098-account-manipulation\|T1098]] | Contas com perfil super_admin e acesso VPN |
## Indicadores de Comprometimento
> [!ioc]- IOCs - FortiCloud SSO Bypass (TLP:GREEN)
> **Contas SSO maliciosas:**
> `
[email protected]`
> `
[email protected]`
>
> **Contas locais criadas:**
> `secadmin` (super_admin)
> `itadmin` (super_admin)
> `audit` (super_admin)
> `backup` (super_admin)
> `support` (super_admin)
>
> **IPs de origem:**
> `104.28.244.115`
> `104.28.212.114`
>
> **Comportamento:**
> - Login SSO seguido de download de config em segundos
> - Criação de contas administrativas locais automatizada
> - Modificação de configurações VPN
>
> **Fontes:** [Arctic Wolf](https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/) - [Arete IR](https://areteir.com/resources/fortinet-fortigate-authentication-vulnerability-exploited-bypass-sso)
## Relevância LATAM/Brasil
> [!latam] Impacto Regional
> A Fortinet é **líder de mercado em firewalls no Brasil e América Latina**, com participação de mercado significativamente superior a concorrentes como Palo Alto, Cisco e Check Point na região. Dispositivos **FortiGate** são onipresentes em organizações de todos os portes, desde PMEs até grandes corporações e órgãos governamentais.
O impacto para o Brasil é **crítico e imediato**. Milhares de organizações brasileiras utilizam FortiGate com FortiCloud SSO habilitado para gerenciamento centralizado, incluindo [[government|órgãos governamentais]], [[financial|instituições financeiras]], [[healthcare|hospitais]], [[telecommunications|operadoras de telecomúnicações]] e empresas de todos os setores. A Fortinet possui escritórios em São Paulo e distribuidores autorizados em todo o país.
A gravidade é amplificada pelo modelo de negócios da Fortinet no Brasil, onde muitas organizações adquirem firewalls FortiGate através de **parceiros e integradores** que frequentemente gerenciam múltiplos clientes via FortiCloud - criando um cenário onde o comprometimento do SSO pode afetar **dezenas ou centenas de organizações simultaneamente** através de um único ponto de acesso.
## Detecção e Defesa
### Ações Imediatas
1. **Aplicar patch** da Fortinet imediatamente em todos os produtos afetados
2. **Auditar contas administrativas** em todos os FortiGate - buscar `secadmin`, `itadmin`, `audit`, `backup`, `support`
3. **Verificar logs** de login SSO por contas `
[email protected]` e `
[email protected]`
4. **Verificar** alterações de configuração VPN não autorizadas
5. **Rotacionar credenciais** VPN de todos os dispositivos potencialmente comprometidos
6. **Considerar desabilitar** FortiCloud SSO temporariamente até aplicação do patch
### Mitigações MITRE
- [[M1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]]: MFA local adicional além do SSO
- [[M1026-privileged-account-management\|M1026 - Privileged Account Management]]: restringir criação de contas super_admin
- [[M1030-network-segmentation\|M1030 - Network Segmentation]]: isolar interface de gerenciamento
- [[M1051-update-software\|M1051 - Update Software]]: aplicar patch Fortinet
## Referências
- [Arctic Wolf - Malicious FortiGate Config Changes via SSO](https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/)
- [Arete IR - FortiGate Auth Vulnerability](https://areteir.com/resources/fortinet-fortigate-authentication-vulnerability-exploited-bypass-sso)
- [SecPod - CVE-2026-24858 Analysis](https://www.secpod.com/blog/from-sso-to-sos-how-CVE-2026-24858-gave-hackers-the-keys-to-your-fortinet-gear/)
- [The Hacker News - Fortinet FortiCloud SSO](https://thehackernews.com/2026/01/fortinet-confirms-active-forticloud-sso.html)
- [BleepingComputer - FortiCloud SSO Zero-Day](https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/)
- [SentinelOne - FortiGate Edge Intrusions](https://www.sentinelone.com/blog/fortigate-edge-intrusions/)
- [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)