Imaginem o pesadelo de qualquer administrador de sistemas: aplicar rigorosamente todas as atualizações de segurança recomendadas pelo fabricante e, dias depois, descobrir que a rede foi comprometida na mesma. Infelizmente, esta é a realidade atual para vários clientes da Fortinet. A empresa confirmou que uma vulnerabilidade crítica, que se pensava estar resolvida desde o início de dezembro, está a ser explorada ativamente através de um novo método que contorna a correção anterior.
A situação é particularmente grave porque afeta dispositivos que estavam supostamente protegidos. Os piratas informáticos encontraram uma forma de "saltar" a barreira de segurança implementada para a falha identificada como CVE-2025-59718, relacionada com a autenticação SSO (Single Sign-On) na plataforma FortiCloud.
Uma nova via de ataque
Os primeiros sinais de alarme soaram na quarta-feira, quando a empresa de cibersegurança Arctic Wolf reportou uma nova campanha de intrusões automatizadas que começou a 15 de janeiro. Nestes ataques, os criminosos conseguem criar contas com acesso VPN e roubar as configurações das firewalls em questão de segundos. O método é assustadoramente semelhante aos incidentes registados em dezembro, mas agora afeta sistemas que já tinham recebido a atualização de segurança.
A confirmação oficial chegou pouco depois, conforme detalhado no blog oficial da equipa de segurança da marca. Carl Windsor, o CISO da empresa, admitiu que foram identificados casos em que a exploração ocorreu em dispositivos totalmente atualizados para a versão mais recente disponível no momento do ataque. Isto sugere inequivocamente que os atacantes descobriram um novo caminho para explorar a mesma vulnerabilidade.
Os registos partilhados pelas vítimas revelam um padrão consistente: a criação de utilizadores administradores ocorre imediatamente após um login via SSO com o endereço de email cloud-init[@]mail.io, originário do endereço IP 104.28.244[.]114. Estes indicadores de compromisso coincidem tanto com as observações da Arctic Wolf como com os dados internos do fabricante.
O que fazer agora?
Enquanto os engenheiros trabalham numa correção definitiva para tapar este novo buraco, a recomendação oficial é drástica: não confiem apenas na atualização de software. A empresa aconselha vivamente os administradores a restringirem o acesso administrativo aos dispositivos de rede via Internet, aplicando políticas locais que limitem os endereços IP autorizados a aceder às interfaces de gestão.
Mais importante ainda, é crucial desativar a funcionalidade de SSO da FortiCloud. Os administradores devem navegar até às definições do sistema e desligar a opção que permite o login administrativo através deste serviço. Esta é, por agora, a única forma garantida de travar esta falha específica.
Para quem detetar os indicadores de compromisso mencionados, as notícias não são boas: o sistema deve ser considerado totalmente comprometido. A solução passa por rodar todas as credenciais (incluindo contas LDAP/AD) e restaurar a configuração a partir de uma cópia de segurança limpa e conhecida. Com o Shadowserver a rastrear quase 11.000 dispositivos ainda expostos online com o SSO ativo, a corrida para proteger estas redes é mais urgente do que nunca.
Nenhum comentário
Seja o primeiro!