Os clientes da Fortinet estão a enfrentar uma situação alarmante, com atacantes a explorarem ativamente uma forma de contornar a correção de segurança que deveria ter resolvido uma vulnerabilidade crítica nos sistemas FortiGate. A falha, identificada como CVE-2025-59718, está a permitir que hackers invadam firewalls que já tinham sido atualizados.
Administradores de sistemas afetados relataram que a versão mais recente do FortiOS (7.4.10) não resolveu totalmente este problema de autenticação, o qual deveria ter ficado sanado no início de dezembro com o lançamento da versão 7.4.9. Segundo as informações partilhadas por administradores no Reddit, a equipa de desenvolvimento da marca terá confirmado que a vulnerabilidade persiste.
Atualizações não resolveram a falha crítica
O cenário descrito pelos profissionais de TI é preocupante. Um administrador relatou ter detetado um início de sessão malicioso via SSO num dispositivo FortiGate que já estava a correr a versão 7.4.9 desde o dia 30 de dezembro. O sistema de monitorização (SIEM) detetou a criação de uma conta de administrador local, um comportamento típico de quem explora esta vulnerabilidade específica.
Os registos partilhados indicam que o utilizador administrador foi criado a partir de um login SSO suspeito (cloud-init@mail.io) com origem no endereço IP 104.28.244.114. Estes dados alinham-se com padrões de exploração anteriores da CVE-2025-59718, onde atacantes utilizavam mensagens SAML manipuladas para comprometer contas administrativas.
A Fortinet estará alegadamente a preparar o lançamento das versões FortiOS 7.4.11, 7.6.6 e 8.0.0 para corrigir definitivamente esta falha de segurança nos próximos dias.
Como proteger o seu sistema agora
Enquanto uma correção definitiva não é disponibilizada, a recomendação para os administradores é desativar temporariamente a funcionalidade de login via FortiCloud, caso esta esteja ativa. Esta medida é essencial para proteger os sistemas contra estes ataques.
Para desativar o login FortiCloud, é necessário aceder a Sistema -> Definições e mudar a opção "Allow administrative login using FortiCloud SSO" para Off. Alternativamente, é possível executar os seguintes comandos na interface de linha de comandos (CLI):
config system global
et admin-forticloud-sso-login disableend
A funcionalidade alvo destes ataques não está ativa por defeito em dispositivos que não estejam registados no FortiCare, o que limita o número total de equipamentos vulneráveis. No entanto, dados da Shadowserver indicavam em meados de dezembro que mais de 25.000 dispositivos estavam expostos online com esta opção ativa. Atualmente, esse número desceu para cerca de 11.000 unidades ainda acessíveis via Internet.
A CISA já adicionou esta vulnerabilidade à sua lista de falhas ativamente exploradas, ordenando às agências federais norte-americanas que apliquem as correções num prazo de uma semana. Além disso, hackers estão também a explorar uma vulnerabilidade crítica no FortiSIEM, utilizando código de prova de conceito disponível publicamente para ganhar execução de código com privilégios root em dispositivos não atualizados.
Nenhum comentário
Seja o primeiro!