Exploração Ativa de Bypass de Autenticação em Dispositivos Fortinet (Patch Bypass)

A ameaça explora falhas críticas de desvio de autenticação via FortiCloud SSO, permitindo que atacantes obtenham acesso administrativo total sem credenciais válidas.

Publicado em 23/01/2026 19:19Modificado em 08/04/2026 21:26
Compartilhe:

Destinatários: Este alerta destina-se a profissionais de segurança cibernética, administradores de redes, arquitetos de infraestrutura, equipes de prevenção, tratamento e resposta a incidentes cibernéticos (ETIRs) e gestores de TI.

Resumo: Foi identificada uma campanha global de ataques automatizados de alta escala visando dispositivos Fortinet (FortiGate, FortiWeb, FortiProxy e FortiSwitchManager). A ameaça explora falhas críticas de desvio de autenticação via FortiCloud SSO, permitindo que atacantes obtenham acesso administrativo total sem credenciais válidas. Atenção: Relatos técnicos confirmam que as correções anteriores (patches) podem ser contornadas em certas configurações, tornando dispositivos atualizados ainda vulneráveis.

A cadeia de ataque observada segue as seguintes etapas:

  1. Vetor Inicial: Utilização de mensagens SAML manipuladas direcionadas ao recurso de Single Sign-On (SSO) do FortiCloud.
  2. Execução: Ataques automatizados que levam segundos para processar o login malicioso contra a conta cloud-init@mail.io.
  3. Ações no Alvo: Exfiltração imediata de arquivos de configuração do firewall via interface gráfica (GUI).
  4. Persistência: Criação de múltiplas contas de administrador secundárias (ex: secadmin, itadmin, support, backup) e configuração de acessos VPN para garantir o controle permanente do ambiente.
  5. Escala: O uso de automação permite que os atacantes modifiquem as configurações de milhares de firewalls simultaneamente, aumentando drasticamente o raio de impacto.

Impacto:

  • Comprometimento Total: Acesso administrativo irrestrito ao núcleo da rede.
  • Exposição de Dados: Roubo de arquivos de configuração contendo hashes de senhas e segredos de rede.
  • Movimentação Lateral: Uso de contas VPN criadas para acessar o restante da infraestrutura interna da organização.

Ações Imediatas Recomendadas e Dicas de Desativação Segura

  1. Desativação do FortiCloud SSO (Crítico):
    Acesse a CLI do seu FortiGate e execute os seguintes comandos para cortar o vetor de ataque:
    config system global
    set admin-forticloud-sso-login disable
    end
  2. Auditoria e Limpeza de Contas:
    Verifique a lista de administradores (config system admin) em busca de usuários não autorizados. Remova imediatamente qualquer conta suspeita, especialmente as citadas no resumo (secadmin, backup, etc).
  3. Restrição de Acesso à Gerência (Local Inbound Policy):
    Não permita que a interface de gerenciamento (HTTPS/SSH) esteja exposta para a internet. Utilize "Trusted Hosts" ou políticas de acesso local para restringir o acesso apenas a IPs de gerência conhecidos.
  4. Reset de Credenciais:
    Se houver qualquer sinal de login dos IPs listados nos IoCs, considere todos os hashes de senha do arquivo de configuração como comprometidos. Realize a troca de todas as senhas de administradores e chaves pré-compartilhadas (PSK) de VPNs.

Indicadores de Comprometimento (IoC)

Endereços IP (Fontes de Ataque):

  • 104[.]28[.]244[.]115
  • 104[.]28[.]212[.]114
  • 217[.]119[.]139[.]50
  • 37[.]1[.]209[.]19
  • 104[.]28[.]244[.]114

Vulnerabilidades Relacionadas:

  • CVE-2025-59718 (CVSS 9.8) - Crítica
  • CVE-2025-59719 (CVSS 9.8) - Crítica
Compartilhe: