A sensação de segurança ao manter um firewall totalmente atualizado foi quebrada. Administradores de sistemas e equipes de segurança estão diante de um cenário crítico em que firewalls Fortinet, mesmo com correções aplicadas, estão sendo invadidos ativamente por agentes maliciosos.
O alerta envolve a vulnerabilidade Fortinet CVE-2025-59718, um grave bypass de autenticação relacionado ao FortiCloud e ao mecanismo de SSO SAML. O mais preocupante é que a própria Fortinet confirmou que a correção inicial, distribuída em dezembro, não foi suficiente, permitindo que novos ataques continuassem ocorrendo em ambientes considerados protegidos.
Esse tipo de falha representa um risco elevado porque atinge diretamente o plano de controle dos dispositivos. Em termos práticos, um invasor pode obter acesso administrativo remoto, criar contas privilegiadas e assumir o firewall, comprometendo toda a rede corporativa sem disparar alertas imediatos.
Entenda a vulnerabilidade Fortinet CVE-2025-59718
A CVE-2025-59718 descreve uma falha crítica de bypass de autenticação no fluxo de login do FortiCloud SSO, utilizado para gerenciar dispositivos FortiGate de forma centralizada. A vulnerabilidade permite que um atacante contorne os mecanismos normais de validação e obtenha acesso administrativo sem credenciais válidas.
O problema ocorre no processo de autenticação federada, onde o firewall confia em respostas externas para conceder acesso. Ao explorar essa confiança excessiva, atacantes conseguem se passar por usuários legítimos e executar ações com privilégios máximos.
O problema com o SSO SAML
O ponto central da falha está na implementação do SSO SAML no FortiCloud. O mecanismo deveria validar rigorosamente a origem, a integridade e o contexto das respostas de autenticação. No entanto, pesquisadores identificaram que determinadas condições permitiam a aceitação de tokens manipulados ou incompletos.
Isso abre espaço para ataques em que o invasor não precisa conhecer senhas, chaves ou certificados válidos. Basta explorar a lógica defeituosa do fluxo SAML para obter acesso administrativo ao dispositivo.
Por que as atualizações de dezembro não foram suficientes
A Fortinet lançou uma correção inicial no final de dezembro com o objetivo de mitigar a CVE-2025-59718. Contudo, investigações posteriores mostraram que o patch tratava apenas parte do problema, deixando vetores alternativos de exploração abertos.
Na prática, firewalls totalmente atualizados continuaram vulneráveis porque a correção não reforçou todas as etapas críticas de validação do SSO. Esse cenário levou a uma falsa sensação de segurança, aumentando o impacto dos ataques em ambientes de produção.
Como os ataques estão acontecendo na prática
Relatórios recentes da Arctic Wolf revelam que os ataques estão sendo realizados de forma altamente automatizada. Em muitos casos, o comprometimento ocorre poucos minutos após a exposição do serviço, sem interação humana direta.
Um padrão recorrente identificado é a criação de usuários administradores falsos, como contas com nomes semelhantes a cloud-init@mail.io. Essas contas são adicionadas silenciosamente e utilizadas para manter persistência no dispositivo, mesmo após reinicializações.
Além disso, os atacantes alteram configurações críticas do firewall, desativam logs ou ajustam regras de acesso, dificultando a detecção. A velocidade do ataque indica o uso de scripts e infraestrutura dedicada para varredura e exploração em larga escala.
Guia de mitigação imediata
Diante da exploração ativa da Fortinet CVE-2025-59718, medidas de mitigação imediatas são essenciais para reduzir o risco de comprometimento.
Desative o FortiCloud SSO temporariamente
A principal recomendação é desativar o FortiCloud SSO, especialmente em ambientes onde o acesso administrativo via nuvem não é estritamente necessário. Essa ação elimina o vetor de ataque explorado no bypass de autenticação.
Após a desativação, utilize apenas métodos locais de autenticação, com credenciais fortes e, sempre que possível, autenticação multifator.
Restrinja o acesso administrativo por endereço IP
Configure políticas rígidas para permitir acesso administrativo apenas a endereços IP confiáveis. Evitar a exposição do painel de gerenciamento à internet reduz drasticamente a superfície de ataque.
Essa prática é fundamental mesmo após a aplicação de patches, pois adiciona uma camada extra de defesa contra falhas desconhecidas ou ainda não corrigidas.
Verifique indicadores de comprometimento (IOCs)
Caso exista qualquer suspeita de invasão, revise imediatamente os logs de autenticação, a lista de usuários administrativos e alterações recentes de configuração. A presença de contas desconhecidas ou horários de login incomuns são fortes indícios de comprometimento.
Em ambientes críticos, considere a reinstalação do firmware, a rotação de todas as credenciais e a revisão completa das regras de firewall.
Conclusão e o futuro da correção
A vulnerabilidade Fortinet CVE-2025-59718 evidencia como falhas em mecanismos de autenticação centralizada podem ter impactos devastadores. A Fortinet reconheceu que a correção inicial foi incompleta e já indicou que um novo patch mais abrangente está em desenvolvimento.
Até que uma atualização definitiva seja disponibilizada, a postura recomendada é de contenção e monitoramento constante. Administradores devem revisar logs, endurecer políticas de acesso e acompanhar atentamente os comunicados oficiais.
Como chamada à ação, é fundamental verificar imediatamente seus dispositivos FortiGate, auditar acessos administrativos recentes e manter-se informado. Assinar a newsletter e os alertas de segurança garante que você seja notificado assim que a correção final for liberada, reduzindo o tempo de exposição a essa falha crítica.