Fortinet reconheceu que está investigando um novo vetor de ataque que permite saltar a autenticação SSO em dispositivos que usam FortiCloud, mesmo em aparelhos que tinham sido atualizados recentemente. Nos últimos dias, a empresa detectou acessos maliciosos que não respeitavam as correções aplicadas previamente a duas vulnerabilidades atribuídas como CVE-2025-59718 e CVE-2025-59719, sugerindo que os atacantes encontraram uma rota alternativa para autenticar sessões sem passar pelo fluxo legítimo de SAML.
Os incidentes relatados mostram um padrão claro: intrusos que iniciam sessão através do mecanismo de FortiCloud SSO, criam contas genéricas para manter acesso persistente, modificam a configuração para permitir-lhes ligar através de VPN e extraem as configurações do corta-fogo para servidores externos. Entre os nomes de conta observados pelos pesquisadores figuram "[email protected]" e "[email protected]", marcas que servem para rastrear a atividade e verificar se um dispositivo foi comprometido.
É importante entender por que isto é grave. SAML (Security Assertion Markup Language) é um padrão amplamente usado para delegar a autenticação entre fornecedores de identidade e serviços; quando esse mecanismo falha, um atacante pode suplantar administradores sem necessidade de credenciais válidas. Se você quiser aprofundar como funciona o SAML e por que qualquer falha em sua implementação pode ter consequências amplas, há boas explicações técnicas na documentação oficial do OASIS e em análise divulgadas como o Cloudflare: especificação SAML v2.0 (OASIS) e explicação prática de SAML por Cloudflare.
Fortinet publicou uma análise pública desta campanha e da exploração do SSO que está estudando e mitigando ativamente; seu relatório técnico detalha os achados e as medidas temporárias recomendadas pelo fabricante. Você pode ver essa nota em seu blog oficial para ver a informação diretamente da fonte: Análise de abuso de SSO em FortiOS (Fortinet). Além disso, as vulnerabilidades relacionadas aparecem registradas nos listados públicos de CVE para referência técnica: CVE-2025-59718 e CVE-2025-59719.
Enquanto Fortinet trabalha para fechar completamente a nova via de ataque, há várias ações urgentes que as organizações com dispositivos FortiGate deveriam tomar. Em primeiro lugar, convém reduzir a exposição administrativa dos equipamentos à Internet, aplicando políticas de acesso local e limitando que endereços podem alcançar os portos de gestão. Outra medida prática é desativar temporariamente os inícios de sessão de FortiCloud SSO — a opção identificada como admin-forticloud-sso-login — até que se confirme que a correcção cobre o novo vetor. Também é crítico auditar as contas administrativas existentes, buscar a presença dos nomes observados pelos pesquisadores e revisar mudanças nas políticas VPN e exportações de configuração que pudessem indicar exfiltração.
Para além das medidas pontuais, é conveniente adoptar medidas de detecção e contenção: rever registos de autenticação e sistema para detectar inícios de sessão SSO invulgares, aplicar alertas para a criação de contas administrativas e alterar regras de acesso remoto e, se for confirmado compromisso, isolar os dispositivos afectados e restaurar configurações a partir de cópias de segurança prévias ao incidente. Não se esqueça de reforçar a posição geral: aplicar autenticação multifator onde possível, rodar credenciais e manter um inventário e controle de mudanças rigorosas para os dispositivos de borda.
Este incidente também deixa um ensino mais amplo: embora a exploração observada tenha se centrado em FortiCloud SSO, as falhas em implementações de SAML podem afetar qualquer fornecedor ou produto que depende deste padrão para o início de sessão única. Por isso, recomenda-se que equipes de segurança corporativos revejam todas as integrações SAML que tenham instaladas, analisem a possibilidade de ataques de suplantação de aserções e consultem publicações de seus fornecedores e de agências de cibersegurança para medidas específicas.
A situação continua a evoluir e Fortinet indicou que está a desenvolver correcções adicionais para fechar a nova via de ataque detectada. Manter-se informado com as comunicações oficiais do fornecedor e os alertas de segurança pública é fundamental para reagir rapidamente. Para um acompanhamento técnico e recomendações oficiais, consulte o comunicado do fabricante e as entradas CVE acima mencionadas.
Se você administra FortiGate na sua rede e você já não tomou nenhuma destas medidas, age o quanto antes: limita o acesso administrativo da Internet, desactiva o SSO de FortiCloud se não for imprescindível e monitora sinais de compromisso. Num mundo onde as ferramentas de autenticação única ganham terreno, a segurança da sua implementação é tão forte quanto a mais fraca das suas integrações.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...