O cenário que descreve as equipas de resposta e as empresas que pesquisaram a campanha é direto e rápido. Segundo relatos públicos de assinaturas do setor, em meados de janeiro começaram a se detectar acessos anormais que incluíam a criação de contas administrativas com acesso VPN e a exfiltração de configurações das equipes em questão em questão de segundos. A rapidez e a uniformidade dessas intrusões fazem pensar em um processo automatizado que aproveita alguma rota de ataque nova ou uma forma de sortear a correção prévia.
Fortinet confirmou publicamente que a atividade observada nestas últimas semanas guarda semelhança com as explorações documentadas em dezembro e que a empresa está trabalhando para identificar e remediar completamente o vetor responsável pelas novas invasões. Em sua nota técnica sobre o abuso do SSO em FortiOS ( ver comunicado de Fortinet) a empresa reconhece que, embora até agora a exploração conhecida afeta FortiCloud SSO, o problema subjacente se relaciona com implementações SAML SSO em geral.
Os indícios de partilha de clientes e analistas ajudam a reconstruir parte do ataque: em vários registos de acesso, as contas administrativas foram criadas após um início de sessão SSO desde o endereço de email [email protected] e do IP 104.28.244.114, coincidências que também foram identificadas pela assinatura de segurança que publicou observações sobre a campanha. O Fortinet, por sua vez, apresentou indicadores de compromisso que podem ser utilizados para a busca de evidências em dispositivos potencialmente afetados ( ver IOCs compartilhados por Fortinet).
Para dimensionar a exposição, o grupo de vigilância Shadowserver mantém um acompanhamento de equipamentos com FortiCloud SSO exposto na Internet e seu tabuleiro mostra cerca de 11.000 dispositivos acessíveis publicamente com esse serviço ativado ( ver painel de Shadowserver). Esse número explica por que a adição do CVE-2025-59718 à lista de vulnerabilidades exploradas ativamente da agência norte-americana CISA gerou medidas urgentes: em 16 de dezembro, CISA incorporou esta falha ao seu catálogo e ordenou a agências federais aplicar adesivos em prazos ajustados ( comunicado da CISA, entrada no catálogo).
Diante deste panorama, as recomendações práticas são claras e urgentes. Fortinet sugeriu limitar o acesso administrativo da Internet aplicando uma política local-in que restrinja os endereços IP autorizados a administrar os dispositivos; a documentação oficial explica como aplicar essa política em FortiGate ( mais informações sobre local-in policy). Além disso, enquanto se entrega uma correcção definitiva, a empresa aconselha a desativar a opção de iniciar sessão administrativa através do FortiCloud SSO nas configurações do sistema e verificar quaisquer vestígios de compromisso nos registros.
Se, ao rever as máquinas, se encontrarem os indicadores de compromisso associados a esta campanha, a recomendação operacional é tratar a equipe e a sua configuração como comprometidos: mudar todas as credenciais relevantes, incluindo contas LDAP/AD que possam ter ficado expostas, e restaurar a configuração de uma cópia de segurança conhecida como limpa. Fortinet publicou passos técnicos e recursos em sua comunidade para guiar a resposta ( ver sugestões na comunidade de Fortinet).
Para além deste incidente concreto, há duas lições que convém interiorizar. A primeira é que as soluções de autenticação centralizada como SAML/SSO, que oferecem conforto e controle, também concentram risco: uma vulnerabilidade nessa cadeia de confiança pode dar acesso amplo e rápido a um atacante. A segunda é que o fato de ter aplicado um adesivo não garante que a exposição tenha desaparecido; sempre existem casos em que surgem rotas alternativas de exploração ou a correção não cobre cenários imprevistos. Por isso, em ambientes críticos, as medidas de defesa em profundidade — segmentação de acesso, whitelisting de IPs para administração, supervisão contínua de logs e restauração desde backup limpo — permanecem imprescindíveis.
Se você gerencia Fortinet em uma rede empresarial, deve agir imediatamente: revisar a configuração de FortiCloud SSO, auditar os acessos recentes, aplicar bloqueios de administração da Internet e preparar planos de resposta que incluam a rotação de credenciais e a restauração segura. Muitas destas instruções estão detalhadas nas fontes oficiais associadas a este artigo; rever e segui-las reduz significativamente a probabilidade de sofrer uma intrusão semelhante.
A situação continua em desenvolvimento e tanto fornecedores de segurança como fabricantes continuarão a publicar atualizações técnicas. Para manter o dia e contrastar informações, consultar as publicações dos fabricantes e os alertas de organismos como a CISA, além de relatórios de empresas de resposta que monitoram atividades maliciosas no terreno. Num ambiente onde os ataques são automatizados e rapidamente propagados, a prevenção ativa e a detecção precoce são a melhor defesa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...