Um novo episódio inquietante no universo da cibersegurança pulou à luz: pesquisadores da assinatura Arctic Wolf detectaram em meados de janeiro de 2026 uma campanha automatizada que está mudando configurações de corta-fogo Fortinet FortiGate sem autorização. De acordo com a análise publicada pela empresa, os atacantes aproveitaram falhas no fluxo de login único (SSO) ligado ao FortiCloud para acessar consoles administrativos e exfiltrar arquivos de configuração.
A mecânica técnica que permite esta intrusão apoia-se em mensagens SAML manipuladas para sortear a autenticação quando a funcionalidade de SSO de FortiCloud está ativada em dispositivos afetados. Arctic Wolf identifica que as famílias de produtos atingidas incluem FortiOS, FortiWeb, FortiProxy e FortiSwitchManager, e liga esta atividade com vulnerabilidades já catalogadas no ecossistema Fortinet. No seu relatório, pode ler-se uma análise detalhada dos sinais observados e da sequência de ações do atacante: relatório do Arctic Wolf.
Os pesquisadores descrevem um padrão repetitivo: inícios de sessão SSO contra uma conta suspeita denominada cloud- init@ mail.io a partir de um conjunto específico de endereços IP, e depois a exportação dos ficheiros de configuração via a interface gráfica para esses mesmos endereços. Os endereços apontados por Arctic Wolf incluem 104.28.244.115, 104.28.212.114, 217.119.139.50 e 37.1.209.19. Além dessa conta inicial, os atacantes criam contas secundárias com nomes genéricos — por exemplo secadmin, itadmin, support, backup, remoteadmin ou audit — com a aparente intenção de manter acesso persistente ao dispositivo.
Uma característica que os analistas destacam é a velocidade: todos os eventos relevantes acontecem em questão de segundos, o que sugere que a operação está automatizada. Essa automação facilita que o atacante faça mudanças de configuração para conferir acesso VPN às contas criadas e, em alguns casos, baixe a configuração completa do corta-fogo. É importante salientar que um ficheiro de configuração de um dispositivo de segurança normalmente contém regras, rotas, certificados e, por vezes, credenciais ou referências a segredos que um adversário pode reutilizar para se mover lateralmente numa rede ou manter acesso prolongado.
A publicação do Arctic Wolf chega ao mesmo tempo que usuários em fóruns públicos relatam comportamentos anormais. Em um tópico do Reddit, vários administradores de Fortinet comentam o início da sessão SSO maliciosos em equipamentos com sistemas transdérmicos aplicados, e um dos participantes afirma que uma equipe de desenvolvimento de Fortinet confirmou problemas persistentes na versão 7.4.10. O Reddit pode ser consultado aqui: no Reddit. Entretanto, Fortinet mantém o seu portal de avisos de segurança e documentação de produto onde são publicados adesivos e recomendações oficiais: Fortinet Security Advisories e Documentação técnica de Fortinet.
Embora a confirmação oficial e os adesivos definitivos dependem do fabricante, o Arctic Wolf e outros especialistas já propuseram medidas de mitigação imediatas. As acções mais urgentes incluem a desactivação da opção que permite o início de sessão administrativa via FortiCloud SSO nos equipamentos afetados ( admin-forticloud-sso-login), rever a lista de administradores locais para detectar contas desconhecidas, exportar e analisar os registos de acesso e as exportações de configuração, e limitar o acesso às interfaces de gestão por listas de controlo de acesso ou túneis administrativos a partir de endereços IP de confiança.
É fundamental agir rapidamente, mas com método: desativar a funcionalidade vulnerável reduz a superfície de exposição, mas não substitui um processo de verificação integral. Depois de desativar o SSO, todas as mudanças recentes, verificar integridade e confiança de certificados, forçar a mudança de senhas e chaves afetadas, e cercar as contas recém- criadas. Os equipamentos de resposta devem procurar sinais de movimentos laterais ou de criação de portas traseiras adicionais, uma vez que a exposição de arquivos de configuração pode ter fornecido ao atacante mais informações para lidar com o ambiente.
Para quem gerencia FortiGate e outros produtos da família Fortinet, a recomendação prática a curto prazo é seguir as indicações dos provedores de segurança e atualizar à versão que Fortinet publica oficialmente para corrigir as vulnerabilidades subjacentes. Entretanto, é prudente aplicar controlos compensatórios: restringir o acesso administrativo, monitorar exportações e downloads de configuração, e manter um registro dos endereços IP desde que os acessos são produzidos. Se você precisa de uma referência sobre por que as vulnerabilidades em fluxos SAML podem ser críticas, você pode consultar material técnico sobre SAML e seus vetores de abuso na comunidade de segurança: Documentação do OWASP sobre SAML.
A situação é um lembrete de que os mecanismos de conveniência como o SSO na nuvem trazem benefícios operacionais, mas também riscos se não forem combinados com controles de endurecimento e supervisão contínua. As equipas de segurança e operações devem assumir que as tentativas automatizadas de exploração continuarão até que sejam aplicadas atenuações definitivas, e organizar as suas respostas em consequência: encerramento de vectores, auditoria forense e implantação de sistemas oficiais quando disponíveis.
Continuará a evolução do incidente e das publicações oficiais de Fortinet e dos centros de resposta para atualizar qualquer recomendação. Entretanto, você pode ler a análise do Arctic Wolf e verificar os guias e avisos de Fortinet nos links citados acima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...