Uma vulnerabilidade crítica no Fortinet, identificada como CVE-2024-55591, já está sendo ativamente explorada para comprometer redes corporativas e assumir o controle de firewalls. A falha, com um índice de gravidade CVSS de 9.8, afeta FortiOS e FortiProxy, permitindo que invasores criem contas administrativas falsas, modifiquem regras de firewall e estabeleçam conexões VPN para acessar redes internas sem autorização. O risco se torna ainda mais alarmante com a liberação do código de prova de conceito (PoC) pela watchTowr Labs, o que pode acelerar a disseminação dos ataques.

Pesquisadores identificaram que a falha está presente nas versões 7.0.0 a 7.0.16 do FortiOS e 7.0.0 a 7.0.19 e 7.2.0 a 7.2.12 do FortiProxy. O problema reside em uma combinação de falhas, incluindo uma conexão WebSocket pré-autenticada, o uso de um parâmetro local_access_token que permite contornar verificações de sessão, uma condição de corrida na manipulação de mensagens WebSocket e a ausência de tokens ou senhas exclusivas para autenticação de usuários. Esse conjunto de vulnerabilidades torna possível que um atacante obtenha privilégios elevados e controle total sobre os dispositivos afetados.

A Fortinet confirmou que a falha já está sendo explorada por agentes mal-intencionados. Relatos indicam que invasores estão criando novas contas de administrador, adicionando-as a grupos de acesso SSL VPN e modificando políticas de firewall para manter acesso contínuo aos sistemas comprometidos. Essas ações permitem que os atacantes se movimentem lateralmente dentro da rede, aumentando o risco de roubo de dados, espionagem e ataques ainda mais destrutivos. Diante desse cenário, empresas e organizações que utilizam dispositivos Fortinet são fortemente recomendadas a aplicar as atualizações de segurança imediatamente e restringir o acesso administrativo a IPs confiáveis.