CVE-2026-44277 — Controle de Acesso Inadequado no Fortinet FortiAuthenticator

Em ambientes afetados, um atacante remoto não autenticado pode explorar a falha de controle de acesso nos handlers da API REST do FortiAuthenticator para executar código ou comandos não autorizados, sem necessidade de credenciais válidas.

Publicado em 22/05/2026 16:27
Compartilhe:

CVE-2026-44277 — Controle de Acesso Inadequado no Fortinet FortiAuthenticator

CVSS 9.8 — CRÍTICO

CWE-284 | Execução de Código Remoto Sem Autenticação

Em ambientes afetados, um atacante remoto não autenticado pode explorar a falha de controle de acesso nos handlers da API REST do FortiAuthenticator para executar código ou comandos não autorizados, sem necessidade de credenciais válidas.

DESTINATÁRIOS

Órgãos e entidades do SISP que utilizam o Fortinet FortiAuthenticator para gestão de identidade, autenticação multifator (MFA), RADIUS/TACACS+, SSO, IdP, SCIM ou gerenciamento de certificados.

RESUMO

A CVE-2026-44277 afeta o Fortinet FortiAuthenticator nas versões indicadas abaixo. A falha foi classificada como Crítica pelo CNA Fortinet com CVSS 9.8 (vetor: AV:N/ AC:L/ PR:N/ UI:N/ S:U/ C:H/ I:H/ A:H).

Cada componente do vetor descreve uma característica da vulnerabilidade:

  • AV:N (Attack Vector: Network)  O ataque pode ser realizado remotamente pela rede, sem acesso físico ou local ao sistema;
  • AC:L (Attack Complexity: Low)  Não são necessárias condições especiais para explorar a falha; qualquer atacante pode tentar sem preparo adicional.
  • PR:N (Privileges Required: None)  Nenhum privilégio ou conta de usuário é necessário para o ataque.
  • UI:N (User Interaction: None)  A exploração não depende de qualquer ação de um usuário legítimo.
  • S:U (Scope: Unchanged)  O impacto se limita ao componente vulnerável, sem propagação automática para outros sistemas.
  • C:H (Confidentiality: High)  Impacto total na confidencialidade; dados protegidos pelo sistema podem ser completamente expostos.
  • I:H (Integrity: High)  Impacto total na integridade; o atacante pode modificar qualquer dado gerenciado pelo sistema.
  • A:H (Availability: High)  Impacto total na disponibilidade; o sistema pode ser tornado inoperante pelo atacante.

Um atacante remoto não autenticado pode enviar requisições especialmente construídas e alcançar execução de código ou comandos não autorizados.

Versões Afetadas:

  • FortiAuthenticator 8.0.0 e 8.0.2
  • FortiAuthenticator 6.6.0 até 6.6.8
  • FortiAuthenticator 6.5.0 até 6.5.6
  • FortiAuthenticator 6.4.0 até 6.4.10.

Versões Corrigidas:

  • 8.0.3 ou superior (rama 8.0)
  • 6.6.9 ou superior (rama 6.6)
  • 6.5.7 ou superior (rama 6.5)
  • 6.4.11 ou superior (ramas legadas)

IMPACTO

A exploração bem-sucedida da vulnerabilidade pode permitir que um atacante não autenticado execute código ou comandos arbitrários no sistema afetado. O FortiAuthenticator é um componente central da cadeia de identidade e acesso em ambientes corporativos, gerenciando autenticação MFA, SSO, RADIUS/TACACS+, certificados e integrações com VPNs e aplicações internas. O comprometimento pode resultar em:

  • Execução remota de código no appliance sem necessidade de autenticação prévia.
  • Comprometimento da cadeia de confiança de identidade do ambiente.
  • Manipulação ou exfiltração de políticas de acesso, tokens e credenciais gerenciadas.
  • Possibilidade de uso do appliance como ponto de pivô para movimentação lateral na rede.
  • Violação de confidencialidade, integridade e disponibilidade dos serviços de autenticação.

AÇÕES RECOMENDADAS

Ambientes com versões afetadas devem ser atualizados para as versões corrigidas do FortiAuthenticator, conforme a rama utilizada. Além da atualização, as seguintes ações são recomendadas:

  • Atualizar imediatamente o FortiAuthenticator para a versão corrigida correspondente à rama instalada no ambiente.
  • Mitigação temporária: desabilitar o acesso à API REST nas interfaces de rede expostas, via Network > Interfaces > Access Rights, caso a atualização imediata não seja viável.
  • Restringir o acesso à API REST do FortiAuthenticator às redes estritamente administrativas, bloqueando acessos de redes não autorizadas no firewall ou proxy reverso.
  • Inventariar todos os appliances FortiAuthenticator do ambiente, incluindo instâncias virtuais e ambientes de teste que possam ter se tornado produtivos.
  • Verificar se a API REST está habilitada e a partir de quais redes é acessível; desabilitá-la quando não for necessária.
  • Revisar logs de acesso à API REST em busca de requisições anômalas.
  • Considerar o FortiAuthenticator como infraestrutura crítica: qualquer comprometimento desse componente pode afetar toda a cadeia de autenticação e controle de acesso do ambiente.

OBSERVAÇÕES

Já foi identificada a presença de script de detecção público no GitHub, e o histórico de vulnerabilidades Fortinet evidencia que o período entre a publicação e tentativas de exploração pode ser curto. O FortiAuthenticator Cloud não é afetado e clientes cloud não precisam adotar ações corretivas para esta vulnerabilidade específica.

DEFINIÇÕES

a) O que é o Common Vulnerability Scoring System (CVSS)?

Metodologia aberta e padronizada utilizada para avaliar e comunicar as características e a severidade de vulnerabilidades em softwares. O sistema é composto por três grupos de métricas: Base (características intrínsecas da vulnerabilidade), Temporal (fatores que evoluem ao longo do tempo) e Ambiental (fatores específicos do ambiente da organização). A pontuação varia de 0 a 10, sendo que quanto mais próximo de 10, maior a criticidade da vulnerabilidade. Fonte: https://www.first.org/cvss/v3-1/specification-document

b) O que é o Common Vulnerabilities and Exposures (CVE)? Sistema de referência público e padronizado utilizado para identificar e catalogar vulnerabilidades e exposições de segurança conhecidas em softwares e hardwares. Cada entrada recebe um identificador único no formato CVE-[ANO]-[NÚMERO], permitindo que diferentes ferramentas, bases de dados e equipes de segurança referenciem a mesma vulnerabilidade de forma consistente e inequívoca. Fonte: https://www.cve.org

c) O que é o Common Weakness Enumeration (CWE)? Lista categorizada e mantida pela comunidade que descreve os tipos de fraquezas de software e hardware que podem originar vulnerabilidades de segurança. Diferentemente do CVE, que cataloga instâncias específicas de vulnerabilidades, o CWE classifica as causas-raiz subjacentes — como falhas de design, de implementação ou de arquitetura — servindo como referência para desenvolvedores, analistas e equipes de segurança na prevenção e mitigação de problemas desde as fases iniciais do desenvolvimento. Fonte: https://cwe.mitre.org

[TLP:CLEAR]
Compartilhe: