Uma vulnerabilidade crítica no FortiGate da Fortinet, classificada com CVSS 9.8, está sendo explorada ativamente em ataques reais, colocando em risco milhares de ambientes corporativos ao redor do mundo. As falhas identificadas como CVE-2025-59718 e CVE-2025-59719 permitem o bypass completo de autenticação via SSO SAML, resultando em acesso administrativo não autorizado a dispositivos que deveriam proteger redes corporativas e infraestruturas críticas.
O fator mais alarmante é que não se trata de uma ameaça potencial ou teórica. Pesquisadores de segurança já confirmaram campanhas ativas, com invasores explorando essas falhas para assumir o controle de firewalls Fortinet expostos à internet.
Este artigo tem como objetivo alertar a comunidade técnica, explicar de forma clara como o ataque funciona e apresentar medidas de mitigação urgentes e obrigatórias. Para administradores de sistemas e profissionais de segurança, a resposta precisa ser imediata.
As vulnerabilidades CVE-2025-59718 e CVE-2025-59719 no FortiGate da Fortinet
As falhas CVE-2025-59718 e CVE-2025-59719 afetam o mecanismo de autenticação federada baseado em SSO SAML presente em diversos produtos da Fortinet. O impacto é especialmente grave no Fortinet FortiGate, mas também se estende a FortiOS, FortiWeb, FortiProxy e FortiSwitchManager, todos amplamente utilizados em ambientes corporativos.
A pontuação CVSS 9.8 reflete um cenário de risco extremo. A exploração é remota, não exige credenciais válidas e resulta em comprometimento total de confidencialidade, integridade e disponibilidade. Em termos práticos, um atacante pode obter acesso administrativo completo ao dispositivo sem autenticação legítima.
Essa vulnerabilidade crítica no FortiGate da Fortinet rompe a confiança em um dos principais controles de segurança do perímetro de rede, transformando o firewall em um vetor de ataque altamente eficaz.
O perigoso bypass de autenticação SSO SAML
O SSO SAML é amplamente adotado para centralizar a autenticação de usuários, reduzindo a necessidade de múltiplas credenciais e facilitando a gestão de identidades. No ecossistema Fortinet, essa funcionalidade costuma ser integrada ao FortiCloud SSO, permitindo gerenciamento e autenticação federada de dispositivos.
As falhas exploradas permitem que um invasor manipule o fluxo de autenticação SAML, fazendo com que o FortiGate aceite requisições maliciosas como legítimas. Em determinadas condições, especialmente quando o SSO do FortiCloud está habilitado, o sistema deixa de validar corretamente a origem e a integridade da autenticação.
O resultado é um bypass de autenticação no FortiGate, eliminando completamente a necessidade de senha, certificado ou segundo fator. A partir desse ponto, o invasor passa a operar com privilégios administrativos totais.
A exploração ativa e a exfiltração de dados críticos
Pesquisadores de segurança observaram ataques em andamento explorando essa vulnerabilidade crítica no FortiGate da Fortinet em ambientes reais. A atividade maliciosa segue um padrão claro, direcionado e altamente perigoso.
Os atacantes visam principalmente a conta “admin”, buscando acesso privilegiado imediato. Após obter controle do dispositivo, o próximo passo é a exportação completa das configurações do firewall, um indicativo claro de comprometimento avançado e planejamento para ataques futuros.
Esse comportamento demonstra que o objetivo vai além do acesso momentâneo. A exfiltração de dados aponta para persistência, escalonamento e reutilização das informações roubadas contra a própria organização ou contra redes conectadas.
Por que a exfiltração de configurações representa um comprometimento total?
As configurações de um FortiGate contêm informações extremamente sensíveis. Entre elas estão credenciais criptografadas, chaves de VPN, segredos de autenticação, políticas de firewall, regras de NAT, endereços internos e detalhes completos da arquitetura da rede.
Mesmo quando protegidas por criptografia, muitas dessas credenciais podem ser quebradas offline, especialmente se os atacantes tiverem tempo e capacidade computacional. Isso permite acesso contínuo, criação de túneis maliciosos e movimentação lateral dentro da rede.
Na prática, a exfiltração de configurações transforma essa falha em um comprometimento estrutural da segurança, com impactos que podem persistir por meses se não forem tratados corretamente.
Medidas de mitigação urgentes: O que fazer agora
Diante da exploração ativa, a resposta precisa ser imediata e rigorosa. As ações a seguir devem ser tratadas como obrigatórias por qualquer organização que utilize soluções Fortinet.
A primeira medida é aplicar imediatamente as correções oficiais disponibilizadas pela Fortinet para as CVEs 2025-59718 e CVE-2025-59719. Todos os dispositivos afetados devem ser atualizados, com prioridade máxima para aqueles expostos à internet.
Como mitigação temporária, é altamente recomendado desativar o SSO do FortiCloud, especialmente em ambientes onde ele não seja essencial. Essa ação reduz significativamente a superfície de ataque enquanto as atualizações são aplicadas.
Também é fundamental restringir o acesso administrativo, limitando a interface de gerenciamento a IPs confiáveis, VPNs ou segmentos internos. Interfaces administrativas nunca devem permanecer abertas à internet sem controles adicionais.
Caso haja qualquer indício de exploração, execute a redefinição completa de credenciais, incluindo senhas administrativas, chaves de VPN, tokens de API e certificados. Considere comprometido todo segredo presente nas configurações exportadas.
Por fim, revise logs, monitore comportamentos anômalos e compare as configurações atuais com backups confiáveis para identificar alterações não autorizadas.
Conclusão: Prioridade máxima para a segurança de rede
A exploração ativa das falhas CVE-2025-59718 e CVE-2025-59719 coloca a vulnerabilidade crítica no FortiGate da Fortinet entre os incidentes de segurança mais graves do momento. O bypass de autenticação SSO SAML, aliado à exfiltração de configurações, representa risco real de comprometimento total da infraestrutura.
Administradores de sistemas e profissionais de segurança devem agir agora, verificando seus dispositivos, aplicando correções e revisando exposições desnecessárias.
Compartilhar este alerta com outras equipes técnicas pode evitar novos incidentes e reduzir o impacto global dessa ameaça. Em segurança da informação, tempo de reação define o tamanho do dano, e neste caso, cada minuto importa.
