Atualização de firmware no FortiGate: como e quando fazer
Manter o firmware atualizado é uma das práticas de segurança mais básicas — e uma das mais negligenciadas. Entenda os riscos, a cadência recomendada e o processo correto de atualização.
Por que atualizar o firmware do FortiGate
O FortiGate é o dispositivo mais crítico da infraestrutura de segurança — e, por isso, é um alvo prioritário para atacantes. Vulnerabilidades no firmware do FortiGate frequentemente aparecem em listas de CVEs explorados ativamente, e o tempo entre a publicação de uma vulnerabilidade e os primeiros ataques de exploração tem diminuído drasticamente.
Em 2023 e 2024, múltiplas vulnerabilidades críticas no FortiOS foram exploradas em ataques reais antes que a maioria das empresas aplicasse os patches disponíveis. Manter o firmware desatualizado é um risco operacional e de segurança concreto — não uma questão abstrata.
CVEs críticos no FortiOS: vulnerabilidades de execução remota de código e bypass de autenticação no FortiGate foram exploradas em ataques a empresas no Brasil. Fique atento aos advisories de segurança da Fortinet em psirt.fortinet.com.
Entendendo o versionamento do FortiOS
A Fortinet usa um sistema de versões com quatro níveis: Major.Minor.Patch.Build (ex: 7.4.3.1234). Para fins práticos:
Major releases (7.x → 8.x): mudanças arquiteturais significativas. Raramente necessárias para ambientes produtivos estáveis — aguarde maturação de pelo menos 6 a 12 meses após o lançamento.
Minor releases (7.2 → 7.4): novos recursos e melhorias significativas. Normalmente estáveis após alguns meses. Recomendado manter na minor mais recente dentro da major atual.
Patch releases (7.4.2 → 7.4.3): correções de bugs e vulnerabilidades dentro da mesma minor. Devem ser aplicados com maior frequência — especialmente quando envolvem correções de segurança críticas.
Cadência recomendada de atualizações
Uma política de atualização eficiente equilibra segurança com estabilidade operacional:
Patches de segurança críticos (CVSS 9.0+): aplicar em até 72 horas após o lançamento, mesmo em produção. Vulnerabilidades críticas nessa faixa são exploradas em dias após a publicação do CVE.
Patches de segurança moderados: aplicar na próxima janela de manutenção programada — normalmente mensalmente ou a cada dois meses.
Atualizações de minor release: planejar com 3 a 6 meses de antecedência. Testar em ambiente de homologação ou em equipamento secundário antes de aplicar em produção.
Verificação de novos advisories: assine o boletim de segurança da Fortinet (PSIRT) para receber notificações de novas vulnerabilidades por e-mail, sem precisar verificar manualmente.
Processo seguro de atualização
Atualizar o firmware do FortiGate incorretamente pode resultar em indisponibilidade prolongada. Siga este processo:
1. Backup da configuração: antes de qualquer atualização, faça backup completo da configuração em System > Config > Backup. Guarde o arquivo em local seguro externo ao FortiGate.
2. Leia as release notes: cada versão do FortiOS tem release notes detalhando mudanças de comportamento, configurações depreciadas e problemas conhecidos. Verifique se há algo relevante para o seu ambiente.
3. Verifique o caminho de upgrade: a Fortinet disponibiliza uma ferramenta de upgrade path em docs.fortinet.com que indica se é necessário passar por versões intermediárias — atualizar de 6.4 diretamente para 7.4 pode causar problemas.
4. Janela de manutenção: a atualização causa reboot do FortiGate — indisponibilidade de alguns minutos. Programe para janelas de baixo impacto e comunique as equipes afetadas.
5. Validação pós-update: após o reboot, verifique o status de todos os túneis VPN, as assinaturas FortiGuard e as políticas de segurança. Qualquer alteração de comportamento deve ser investigada imediatamente.
Dica Fortilab: O FortiGate suporta firmware rollback — é possível reverter para a versão anterior se algo der errado após o update. A versão anterior fica armazenada no flash e pode ser ativada via CLI ou GUI em caso de problemas.
Monitorando vulnerabilidades no seu FortiGate
Além de atualizar reativamente quando vulnerabilidades são publicadas, é possível ser proativo:
O portal PSIRT da Fortinet (psirt.fortinet.com) lista todas as vulnerabilidades ativas com CVSS score, versões afetadas e status de correção. Crie o hábito de verificar mensalmente ou assine as notificações por e-mail.
O FortiGuard Vulnerability Intelligence integrado ao FortiGate pode alertar automaticamente quando o dispositivo está rodando uma versão com vulnerabilidades conhecidas — configure em System > FortiGuard.
Para ambientes com múltiplos FortiGates, o FortiManager centraliza o gerenciamento de firmware — permitindo auditar versões de todos os dispositivos e fazer rollouts controlados de atualizações com aprovação de mudança integrada.