A partir de 15 de janeiro, uma nova onda de ataques automatizados começou a explorar uma vulnerabilidade Fortinet FortiGate extremamente grave, colocando milhares de ambientes corporativos em risco. Segundo relatório técnico divulgado pela Arctic Wolf, a falha permite bypass de autenticação em dispositivos FortiGate expostos à internet, mesmo em cenários onde atualizações recentes já haviam sido aplicadas, o que elevou significativamente o nível de alerta entre equipes de segurança defensiva.
O impacto é direto sobre firewalls que utilizam SSO baseado em SAML integrado ao FortiCloud, permitindo que invasores obtenham acesso administrativo sem credenciais válidas. O cenário é especialmente crítico porque os ataques são altamente automatizados, direcionados e difíceis de detectar em estágios iniciais, o que reforça a urgência de mitigação imediata.
Entendendo a falha CVE-2025-59718
A CVE-2025-59718 descreve uma falha lógica no mecanismo de autenticação SAML SSO utilizado pelo FortiGate quando integrado ao serviço FortiCloud Single Sign-On. Na prática, o erro permite que um atacante remoto não autenticado forje ou reutilize artefatos de autenticação, contornando completamente os controles de acesso esperados.
O vetor de ataque explora inconsistências na validação de sessões SAML, resultando em um bypass de autenticação que concede privilégios elevados. Isso significa que, uma vez explorada, a vulnerabilidade permite acesso ao painel administrativo do firewall, possibilitando alterações de configuração, criação de túneis maliciosos, captura de tráfego e até persistência no ambiente.
Do ponto de vista defensivo, o mais preocupante é que a exploração não exige interação do usuário e não depende de phishing ou engenharia social. Basta que o serviço SSO esteja ativo e acessível externamente. Por esse motivo, a vulnerabilidade Fortinet FortiGate passou rapidamente a ser explorada em escala global.
O problema das correções incompletas
Inicialmente, a Fortinet indicou que a atualização para o FortiOS 7.4.10 mitigaria o problema. No entanto, investigações posteriores conduzidas por equipes de resposta a incidentes demonstraram que essa correção não elimina completamente o vetor de ataque em todos os cenários.
Relatórios de campo indicam que ambientes atualizados para a versão 7.4.10 continuaram apresentando sinais de exploração ativa, sugerindo que o patch aplicado foi parcial ou insuficiente para cobrir todas as variações do ataque. Esse comportamento reforça a necessidade de medidas compensatórias imediatas.
A Fortinet já sinalizou que versões futuras do sistema operacional, incluindo 7.4.11 e 7.6.6, devem trazer correções mais robustas e definitivas. Até que essas versões estejam amplamente disponíveis e validadas, a recomendação é não confiar exclusivamente em atualizações de firmware como única linha de defesa contra essa vulnerabilidade Fortinet FortiGate.
Indicadores de comprometimento (IoC)
Durante a análise dos ataques em andamento, foram identificados indicadores de comprometimento que podem auxiliar equipes de Blue Team e administradores de sistemas na detecção precoce de intrusões.
Entre os principais IoCs observados estão:
- Endereço IP malicioso: 45.77.112.45
- Usuário fraudulento criado ou utilizado: fortigate-cloud-sso
A presença desse usuário em logs de autenticação ou eventos administrativos é um forte indicativo de exploração bem-sucedida da CVE-2025-59718. Além disso, conexões administrativas originadas do IP citado devem ser tratadas como incidentes de segurança até prova em contrário.
A recomendação é revisar logs de eventos de sistema, autenticação e alterações de configuração com atenção especial ao período iniciado em 15 de janeiro, correlacionando acessos suspeitos e mudanças não autorizadas.
Como proteger seu ambiente agora
Diante da exploração ativa e da limitação das correções atuais, a mitigação mais eficaz no curto prazo é a desativação do SSO via FortiCloud, tanto pela interface gráfica quanto pela linha de comando.
Desativando o SSO pela interface web
- Acesse a interface administrativa do FortiGate.
- Navegue até System e depois FortiCloud.
- Localize a opção relacionada a Single Sign-On.
- Desative completamente o SSO baseado em SAML.
- Salve as alterações e reinicie os serviços afetados, se necessário.
Essa ação reduz imediatamente a superfície de ataque explorada pela vulnerabilidade Fortinet FortiGate, impedindo o uso do vetor SAML.
Desativando o SSO via CLI
Para ambientes que exigem automação ou acesso remoto restrito, a mitigação pode ser aplicada via linha de comando. Execute os seguintes comandos no console do FortiGate:
- config system forticloud
- set sso disable
- end
Após a execução, valide o estado do serviço e monitore os logs para garantir que não haja tentativas de autenticação SSO em andamento. Essa medida deve ser considerada temporária, mas essencial até a aplicação de patches definitivos.
Conclusão e vigilância contínua
A exploração da CVE-2025-59718 demonstra, mais uma vez, como falhas em mecanismos de autenticação centralizada podem ter impacto devastador em infraestruturas críticas. A vulnerabilidade Fortinet FortiGate não apenas permite acesso não autorizado, como também desafia a confiança em correções iniciais que se mostraram incompletas.
Enquanto versões mais seguras do FortiOS não são amplamente disponibilizadas, a combinação de mitigações imediatas, monitoramento contínuo de logs e análise ativa de IoCs é fundamental para reduzir riscos. Administradores e gestores de TI devem tratar essa ameaça como prioridade máxima, revisando exposições externas e reforçando controles defensivos.
A vigilância constante, aliada à rápida aplicação de patches assim que disponíveis, será decisiva para evitar comprometimentos silenciosos e danos operacionais significativos.