- Hackers exploram bug do Fortinet FortiGate SSO para roubar dados de configuração do firewall
- Patch do FortiOS 7.4.10 incompleto; novas versões planejadas para corrigir totalmente a vulnerabilidade
- Dados roubados de firewall expõem topologia de rede, VPNs e regras de segurança para ataques futuros
Os cibercriminosos parecem estar aproveitando uma falha em um patch recente para instâncias do Fortinet FortiGate e explorando a vulnerabilidade para criar contas de administrador e roubar firewall dados de configuração.
Pesquisadores de segurança da Arctic Wolf disseram ter visto hackers abusando de um bug no recurso de logon único (SSO) para criar contas e exportar configurações de firewall, provavelmente por meio de um script automatizado.
A atividade é semelhante à observada em dezembro, quando os agentes da ameaça abusaram de duas falhas – CVE-2025-59718 e CVE-2025-59719.
Novas versões em andamento
“Embora os parâmetros dos detalhes de acesso inicial não tenham sido totalmente confirmados, a campanha atual tem semelhanças com uma campanha descrita pela Arctic Wolf em dezembro de 2025”, disse a Arctic Wolf no seu relatório.
“Não se sabe neste momento se a última atividade de ameaça observada está totalmente coberta pelo patch que inicialmente abordou CVE-2025-59718 e CVE-2025-59719.”
A Fortinet aparentemente confirmou os relatórios, dizendo que a versão 7.4.10 do FortiOS não corrige totalmente a vulnerabilidade mencionada acima.
Várias versões já estão em preparação, nomeadamente 7.4.11, 7.6.6 e 8.0.0, o que deve resolver totalmente este problema. Essas versões estão planejadas para serem lançadas em alguns dias. De acordo com os dados do Shadowserver, existem mais de 10.000 endpoints vulneráveis por aí.
Os ataques são bastante perigosos. Os dados de configuração do firewall revelam a topologia completa da rede, regras de segurança, configurações de VPN e mecanismos de autenticação, permitindo que criminosos identifiquem serviços expostos, contornem controles, movam-se lateralmente e mantenham ou recuperem o acesso por meio de VPNs ou conexões confiáveis.
Os dados também podem ser usados para atacar redes de parceiros conectados ou vendidos a outros atores de ameaças.
Se a sua organização estiver em risco, até que a Fortinet corrija as coisas, considere desligar temporariamente o recurso de login do FortiCloud. Você também pode executar estes comandos:
configuração do sistema global
definir admin-forticloud-sso-login desabilitado
fim
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.