A organização de monitoramento de segurança na internet Shadowserver identificou mais de 25 mil dispositivos Fortinet expostos online com o recurso FortiCloud SSO ativado.
Essa descoberta ocorre em meio a ataques contínuos que exploram uma vulnerabilidade crítica de bypass de autenticação.
Em 9 de dezembro, a Fortinet lançou patches para corrigir as falhas identificadas como
CVE-2025-59718
(que afetam FortiOS, FortiProxy e FortiSwitchManager) e
CVE-2025-59719
(FortiWeb).
A empresa destacou que o login vulnerável via FortiCloud SSO só é ativado após os administradores registrarem o dispositivo no serviço de suporte FortiCare.
Conforme reportou a empresa de cibersegurança Arctic Wolf na última segunda-feira, essa vulnerabilidade já está sendo explorada ativamente para comprometer contas administrativas por meio de logins maliciosos usando single sign-on (SSO).
Os invasores enviam mensagens SAML forjadas para obter acesso administrativo à interface web de gerenciamento.
Dessa forma, conseguem baixar arquivos de configuração do sistema que contêm informações sensíveis, como interfaces expostas, hashes de senhas que podem ser decifradas, serviços acessíveis pela internet, topologias de rede e políticas de firewall.
Atualmente, a Shadowserver monitora mais de 25 mil endereços IP que exibem a assinatura do FortiCloud SSO, sendo mais de 5.400 nos Estados Unidos e quase 2 mil na Índia.
No entanto, não há dados disponíveis sobre quantos desses dispositivos já foram protegidos contra ataques que exploram as vulnerabilidades
CVE-2025-59718
e
CVE-2025-59719
.
Yutaka Sejiyama, pesquisador de ameaças da Macnica, informou ao site BleepingComputer que suas varreduras identificaram mais de 30 mil dispositivos Fortinet com FortiCloud SSO ativado e interfaces web vulneráveis expostas na internet.
Segundo ele, "considerando a frequência com que vulnerabilidades nas GUIs administrativas do FortiOS têm sido exploradas, é surpreendente que tantas interfaces administrativas continuem acessíveis publicamente".
Na terça-feira, a CISA (Cybersecurity and Infrastructure Security Agency) incluiu essa falha de bypass de autenticação do FortiCloud SSO em seu catálogo de vulnerabilidades ativamente exploradas.
A agência determinou que órgãos governamentais dos EUA apliquem os patches em até uma semana, até 23 de dezembro, conforme a Binding Operational Directive 22-01.
Falhas de segurança em produtos Fortinet são frequentemente alvo de grupos de ciberespionagem, cibercrime e ransomware, muitas vezes exploradas como zero-days.
Em fevereiro, por exemplo, a Fortinet revelou que o grupo chinês Volt Typhoon explorou duas vulnerabilidades no FortiOS SSL VPN (
CVE-2023-27997
e
CVE-2022-42475
) para implantar um backdoor na rede militar do Ministério da Defesa da Holanda, usando um malware RAT customizado chamado Coathanger.
Mais recentemente, em novembro, a Fortinet alertou sobre a exploração ativa de um zero-day no FortiWeb (
CVE-2025-58034
), uma semana depois de lançar um patch silencioso para outra vulnerabilidade crítica na mesma plataforma (
CVE-2025-64446
), que estava sendo explorada em ataques generalizados.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...