Os administradores de redes que usam dispositivos FortiGate levam dias com o alerta ligado: o que parecia uma falha já corrigida na autenticação de FortiCloud SSO (identificado como CVE-2025-59718) está sendo novamente explorado para tomar o controle de firewalls mesmo em equipamentos com patches recentes. Relatórios de usuários e análises de incidentes apontam que a atualização anunciada como solução não fechou completamente a via de acesso, o que permitiu a atacantes criar contas administrativas remotas e gerenciar dispositivos como se tivessem credenciais legítimas.
A situação acumula vários sinais de gravidade: evidências de exploração ativa, registros compartilhados por gestores e inclusão da vulnerabilidade em listados oficiais de risco. Em fóruns técnicos, vários administradores publicaram registros onde se observa a criação de um usuário administrador após um início de sessão SSO procedente de uma conta identificada como [email protected] e do endereço IP 104.28.244.114, um padrão que coincide com incidentes detectados previamente em dezembro. Esses mesmos administradores indicam que seus dispositivos executavam versões que deveriam ter corrigido a falha, sugerindo que o adesivo original não fechou todos os vetores de exploração.
Fortinet publicou uma nota técnica sobre este incidente em seu portal de segurança (PSIRT), onde explica o alcance do problema e as mitigações recomendadas; é a referência oficial para verificar versões afetadas e atualizações agendadas: Fortinet PSIRT — FG-IR-25-647. Por sua vez, a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA (CISA) já acrescentou esta entrada ao seu catálogo de vulnerabilidades exploradas ativamente, o que obriga organismos federais a aplicar medidas em prazos curtos: CISA — Known Exploited Vulnerabilities (CVE-2025-59718).
Um fator que aumenta o risco é a exposição pública de dispositivos com FortiCloud SSO ativado. Em dezembro, Shadowserver informou que havia mais de 25.000 dispositivos alcançáveis pela Internet com essa característica ativa; desde então vários milhares foram desativados, mas ainda restam mais de 11.000 equipamentos potencialmente acessíveis desde a rede pública: Shadowserver — FortiCloud SSO expostos.
Enquanto Fortinet prepara novas versões do sistema operacional (FortiOS 7.4.11, 7.6.6 e 8.0.0, segundo comunicações internas e relatórios de administradores) para encerrar definitivamente a falha, a recomendação prática e de urgência para aqueles que possam estar em risco é desativar temporariamente a possibilidade de início de sessão administrativa através de FortiCloud SSO. Essa funcionalidade não vem ativada por defeito em dispositivos que não estão registrados com FortiCare, mas nos quais você está pode se tornar a porta de entrada que estão aproveitando os atacantes.
Se você gerencia FortiGate, você pode desativar o início de sessão FortiCloud SSO da interface gráfica navegando para System → Settings e colocando em Off a opção "Allow administrative login using FortiCloud SSO". Se você prefere a linha de comandos, as instruções para desativá-la são simples; executa os seguintes comandos no CLI do dispositivo:
config system global
set admin-forticloud-sso-login disable
end
Desactivar essa opção reduz imediatamente a superfície de ataque, mas não é a única medida razoável. Os utilizadores locais e os registos de acesso devem ser auditados para detectar contas novas ou actividades invulgares, rever os logs do SIEM ou de gestão centralizada para rastrear o início de sessão SSO suspeitos e pôr em quarentena qualquer equipamento que apresente sinais de compromisso. Se você detectar contas administrativas que não tenha criado, isolalas e tratar o incidente como uma intrusão: muda senhas, revoga chaves e certificados comprometidos e restabelece a integridade do dispositivo a partir de cópias de segurança verificadas antes de religar à produção.
A comunidade de segurança já documenta padrões de exploração que apontam para o envio de mensagens SAML manipuladas como vetor para a suplantação e criação de contas com privilégios. Análises anteriores, difundidas por assinaturas de cibersegurança, vinculam os incidentes de dezembro com embriões do mesmo modus operandi que está sendo observado agora; por isso é fundamental não só aplicar o bloqueio temporário, mas manter-se atento a novas atualizações oficiais de Fortinet e aplicá-las logo que se confirmem como completas.
Finalmente, e embora a mitigação principal seja técnica, há uma dimensão operacional importante: comunicar de forma clara e rápida as equipas afectadas, coordenar com o suporte do fornecedor e, se for caso disso, com entidades reguladoras, e conservar evidências para a análise forense. A comunicação pública sobre estes incidentes já está circulando em fóruns especializados — por exemplo, administradores publicaram referências e amostras de logs em fios técnicos — e as autoridades e grupos de resposta estão seguindo o desenvolvimento. Para mais contexto e fonte oficial, consulte o aviso de Fortinet e a entrada do catálogo de CISA acima citados.
A lição imediata para os responsáveis pela segurança é simples, mas contundente: Se o seu FortiGate tiver FortiCloud SSO habilitado, desligue-o agora e monitorize sinais de acesso não autorizado até que o Fortinet publique e verifique um adesivo que feche todas as variantes do bypass.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...