top of page

Fortinet (CVE-2025-59718/19)

 Alerta de Segurança Crítico: Bypass de Autenticação Fortinet (CVE-2025-59718/19) – Dispositivos Atualizados Permanecem Vulneráveis Categoria: Relatórios Técnicos / Cibersegurança / Análise de CVE Data: 23 de Janeiro de 2026

A realistic cybersecurity visual featuring a FortiGate firewall in the foreground with security logs and a global lock backdrop, highlighting two critical Fortinet vulnerabilities (CVE-2025-59718 and CVE-2025-59719). Designed to support an awareness post about SSO/SAML auth-bypass risk, potential unauthorized admin access, and the urgency of patching and restricting management exposure.
Vulnerabilidades do Fortinet SSO – CVE-2025-59718 e CVE-2025-59719

Resumo Executivo: O "Patch" Não É Suficiente

ATUALIZAÇÃO URGENTE (23 de Jan, 2026): Pesquisadores de segurança e a Fortinet confirmaram que a aplicação dos patches de Dezembro de 2025 pode não mitigar totalmente o risco das recentes vulnerabilidades críticas de bypass de autenticação. Dispositivos totalmente atualizados (patched) ainda estão sendo comprometidos através de novos vetores de ataque relacionados ao mecanismo de Single Sign-On (SSO) SAML.

Se você gerencia FortiGate, FortiWeb, FortiProxy ou FortiSwitchManager, confiar apenas nas atualizações de firmware é atualmente insuficiente. Mudanças imediatas de configuração são necessárias para proteger seu perímetro.

A Vulnerabilidade: Acesso Administrativo Sem Autenticação (Zero-Auth)

Duas vulnerabilidades críticas (CVE-2025-59718 e CVE-2025-59719) com pontuação CVSS de 9.8 (Crítico) estão sendo ativamente exploradas in the wild (no mundo real).

A falha permite que um atacante não autenticado manipule asserções SAML usadas pelo recurso FortiCloud Single Sign-On. Ao forjar essas mensagens, um atacante pode burlar a autenticação completamente e logar como um "Super Admin" sem nunca precisar de um nome de usuário ou senha válidos.

Impacto Potencial:

  • Tomada total de controle do dispositivo (Full device takeover).

  • Exfiltração de arquivos de configuração (incluindo hashes de senhas e segredos de VPN).

  • Criação de contas de backdoor persistentes (ex: usuários chamados support, secadmin, backup).

  • Movimentação lateral para dentro da rede interna.

Por Que Você Pode Estar Vulnerável Sem Saber

Um detalhe crítico frequentemente ignorado é a habilitação automática do recurso vulnerável. Embora o admin-forticloud-sso-login venha desabilitado por padrão nas configurações de fábrica, ele é automaticamente habilitado no momento em que um dispositivo é registrado no FortiCare via interface gráfica (GUI).

A menos que sua equipe tenha desabilitado explicitamente esse recurso após o registro, suas interfaces de gerenciamento expostas à internet estão provavelmente em risco.

Matriz de Produtos Afetados:

  • FortiOS (FortiGate): Versões 7.6.x, 7.4.x, 7.2.x e 7.0.x.

  • FortiWeb: Versões 8.0.0, 7.6.x e 7.4.x.

  • FortiProxy & FortiSwitchManager: Múltiplas versões.

Estratégia de Mitigação Imediata (Runbook)

Devido aos relatos de dispositivos atualizados sendo comprometidos, a Floripi Solutions recomenda fortemente as seguintes ações de defesa em profundidade imediatamente.

1. Desabilite o FortiCloud SSO (Workaround Crítico)

Não espere por um novo patch. Desabilite o recurso vulnerável via Interface de Linha de Comando (CLI) imediatamente:

Bash

config system global
    set admin-forticloud-sso-login disable
end

2. Restrinja o Acesso de Gerenciamento

Suas interfaces de gerenciamento (HTTPS/SSH) nunca devem ser expostas à internet pública.

  • Implemente uma Política Local-in (Local-in Policy) para restringir o acesso administrativo apenas a endereços IP internos confiáveis ou VPNs de Gerenciamento.

  • Audite suas configurações de "Trusted Hosts".

3. Threat Hunting: Verifique por Comprometimento

Se o seu dispositivo esteve exposto, assuma que houve brecha até que se prove o contrário. Audite seus logs procurando por:

  • Nomes de Usuário Suspeitos: Procure por logins de e-mails como cloud-noc@mail.io ou cloud-init@mail.io.

  • Padrão de Evento: Admin login successful com method="sso" seguido imediatamente por um download de configuração (configuration download).

  • Novas Contas: Verifique administradores locais criados recentemente que sua equipe não autorizou.

Conclusão

Este incidente serve como um lembrete severo de que dispositivos de segurança de borda exigem vigilância constante. A abordagem de "configurar e esquecer" (set it and forget it) para segurança de rede não é mais viável em 2026.

Precisa de Assistência? Se você necessita de suporte com hardening de emergência, análise de logs ou avaliação de vulnerabilidade, a Equipe Técnica da Floripi está pronta para ajudar.

Comentários

bottom of page