Pesquisadores de segurança identificaram que criminosos começaram a explorar duas vulnerabilidades recentemente divulgadas em dispositivos Fortinet FortiGate, menos de uma semana após a divulgação pública.
A empresa de cibersegurança Arctic Wolf detectou tentativas de invasão envolvendo logins maliciosos via single sign-on (SSO) em dispositivos FortiGate no dia 12 de dezembro de 2025.
As falhas exploradas são dois graves bypasses de autenticação (
CVE-2025-59718
e
CVE-2025-59719
), ambos com pontuação 9,8 no CVSS.
A Fortinet lançou patches para essas vulnerabilidades na semana passada, abrangendo FortiOS, FortiWeb, FortiProxy e FortiSwitchManager.
Segundo o laboratório Arctic Wolf, “essas vulnerabilidades permitem contornar a autenticação do login SSO por meio de mensagens SAML manipuladas, desde que o recurso FortiCloud SSO esteja habilitado nos dispositivos afetados”.
É importante destacar que o FortiCloud SSO vem desativado por padrão, mas é ativado automaticamente durante o registro do FortiCare, salvo se o administrador desabilitar explicitamente a opção "Allow administrative login using FortiCloud SSO" na página de registro.
Nas atividades maliciosas observadas, os atacantes utilizaram endereços IP vinculados a poucos provedores de hospedagem, como The Constant Company LLC, BL Networks e Kaopu Cloud HK Limited, para realizar logins SSO fraudulentos na conta “admin”.
Após o acesso, eles exportaram configurações do dispositivo via interface gráfica (GUI) para esses mesmos IPs.
Diante da atividade em andamento, recomenda-se que as organizações apliquem imediatamente os patches disponíveis.
Como medida mitigadora, é fundamental desabilitar o FortiCloud SSO até que as versões atualizadas estejam instaladas.
Além disso, deve-se restringir o acesso às interfaces de gerenciamento de firewalls e VPNs somente a usuários internos confiáveis.
“Embora as credenciais geralmente sejam armazenadas em hash nas configurações dos dispositivos, sabe-se que atacantes podem quebrar esses hashes offline, especialmente se as senhas forem fracas e vulneráveis a ataques de dicionário”, alerta a Arctic Wolf.
Clientes Fortinet que identificarem indicadores de comprometimento (IoCs) relacionados à campanha devem considerar que houve invasão e redefinir as credenciais em hash presentes nas configurações exfiltradas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...