Mais de 25 mil dispositivos FortiCloud SSO vulneráveis a ataques remotos

Mais de 25 mil dispositivos FortiCloud SSO vulneráveis a ataques remotos — e o que isso significa para sua infraestrutura

Uma investigação recente revelou que mais de 25 000 dispositivos da Fortinet com FortiCloud Single Sign-On (SSO) habilitado estão expostos na internet e vulneráveis a ataques remotos críticos. A descoberta, feita pela Shadowserver Foundation, evidencia um problema de segurança amplo em configurações corporativas que dependem de autenticação de identidade centralizada — um componente cada vez mais crítico em ambientes conectados e híbridos. 

Essas vulnerabilidades, rastreadas como CVE-2025-59718 e CVE-2025-59719, afetam diversos produtos da família Fortinet (como FortiOS, FortiProxy, FortiWeb e FortiSwitchManager) quando o FortiCloud SSO está ativo. Se exploradas, podem permitir a invasão remota de componentes de rede essenciais, expondo interfaces administrativas, dados sensíveis de configuração e até credenciais administrativas. 

Este artigo analisa em profundidade o contexto técnico dessas vulnerabilidades, os riscos operacionais para empresas, melhores práticas de defesa e por que a exposição de dispositivos Fortinet no perímetro deve ser tratada como prioridade máxima pelos times de segurança.

1. O que é FortiCloud SSO e por que é relevante

Single Sign-On (SSO) é um mecanismo de autenticação que permite a usuários entrarem em múltiplos sistemas ou aplicações com uma única credencial. No contexto de dispositivos de rede, o FortiCloud SSO integra dispositivos Fortinet ao serviço FortiCloud, permitindo que administradores façam login e gerenciem políticas de forma centralizada.

O problema surge quando essa integração é feita de forma insegura ou sem controles adequados. Em muitos casos, a funcionalidade FortiCloud SSO é ativada durante a configuração inicial da plataforma sem que medidas adicionais de proteção sejam aplicadas pelos administradores — expondo interfaces críticas de autenticação ao tráfego externo não controlado. 

2. As vulnerabilidades críticas CVE-2025-59718 e CVE-2025-59719

2.1 CVE-2025-59718 — Bypass de autenticação FortiCloud SSO

Essa vulnerabilidade decorre de uma falha na verificação de assinaturas criptográficas em mensagens SAML (Security Assertion Markup Language) usadas durante o processo de SSO. Um atacante remoto pode enviar uma mensagem SAML maliciosamente criada que contorne os controles de autenticação do FortiCloud SSO.

Quando bem sucedido, o invasor pode obter acesso administrativo não autenticado à interface de gerenciamento de dispositivos afetados — incluindo firewalls, proxy e gerenciadores de switches. 

2.2 CVE-2025-59719 — Vulnerabilidade semelhante em FortiWeb

De forma semelhante, essa falha afeta o Fortinet FortiWeb (firewall de aplicação web), permitindo que um atacante contorne a autenticação SSO do serviço por meio de mensagens SAML manipuladas.

Ambas as falhas têm uma pontuação de severidade CVSS de 9,8/10, indicando risco crítico com potencial de impacto massivo se exploradas com sucesso. 

3. Exposição global — mais de 25 000 dispositivos identificados

Relatórios recentes mostram que a Shadowserver Foundation, um grupo que monitora ameaças e exposição de dispositivos em larga escala, identificou pelo menos 25 000 endereços IP globais que exibem dispositivos Fortinet com FortiCloud SSO habilitado. 

Essa contagem representa apenas os dispositivos detectados em uma passiva varredura de internet — ou seja, o número real pode ser ainda maior. A exposição é preocupante porque:

• A funcionalidade de SSO pode estar ativa sem intenção do administrador;

• Dispositivos administrativos críticos estão acessíveis ao público;

• Ataques que exploram as vulnerabilidades podem ocorrer sem autenticação prévia. 

O fato de a funcionalidade poder ser habilitada automaticamente em alguns cenários (como durante o registro no FortiCare) aumenta o risco de configuração inadvertida por administradores despreparados. 

4. Como os atacantes exploram essas falhas

A exploração dessas vulnerabilidades normalmente envolve o envio de mensagens SAML maliciosas para o serviço SSO do dispositivo vulnerável. SAML é um padrão amplamente utilizado para realizar single sign-on entre um Provedor de Identidade (IdP) e um Provedor de Serviço (SP), e falhas na validação das assinaturas ou na lógica de autenticação permitem que um invasor “forje” uma identidade válida.

Quando o ataque tem sucesso, ele pode:

• Registrar-se como usuário administrativo sem fornecer credenciais válidas;

• Baixar arquivos de configuração do sistema;

• Exfiltrar informações estruturais como políticas de firewall, topologia de rede e rotas;

• Explorar dados de configuração para movimentos laterais mais profundos ou escalonamento de privilégios.

Esse tipo de exploração é particularmente perigoso porque pode ocorrer silenciosamente e sem desencadear alertas de autenticação falha — tornando necessária análise de tráfego e monitoramento de SAML anômalo para detecção.

5. Impacto operacional para empresas

A exposição de dispositivos Fortinet com FortiCloud SSO habilitado pode ter implicações severas para toda a infraestrutura de rede:

5.1 Controle administrativo comprometido

Se um atacante obtém acesso administrativo por meio da falha SSO, ele pode alterar políticas de firewall, criar usuários com privilégios elevados ou automatizar tarefas administrativas que comprometem a segurança da rede. 

5.2 Exfiltração e espionagem

Configurações de sistema podem conter informações sensíveis, como:

• Regras de acesso;

• Rotas internas;

• Políticas de VPN;

• Hashes de senha (passíveis de ataque offline).

5.3 Ataques subsequentes mais graves

Uma vez dentro da interface administrativa, um atacante pode:

• Implantar backdoors na configuração do dispositivo;

• Configurar acesso remoto persistente;

• Inserir regras que permitem acesso não autorizado a segmentos internos;

• Desabilitar mecanismos de detecção.

6. Recomendações e medidas de mitigação

Diante do risco crítico, é importante que as equipes de segurança adotem as seguintes medidas:

6.1 Atualização imediata dos dispositivos

Fortinet publicou atualizações de segurança que corrigem os erros de verificação de assinatura e mitigam as vulnerabilidades. A atualização para versões FortiOS 7.6.4+, FortiProxy 7.6.4+, FortiSwitchManager 7.2.7+ ou versões posteriores é recomendada.

6.2 Desativação temporária do FortiCloud SSO

Se a atualização não puder ser aplicada imediatamente, os administradores podem desativar o FortiCloud SSO temporariamente até que o patch seja implantado. Isso reduz significativamente a superfície de ataque para a falha de bypass.

6.3 Restrição do acesso às interfaces de gerenciamento

• Restringir acesso à interface administrativa apenas a redes internas ou VPNs seguras;

• Configurar listas de controle de acesso (ACL) para limitar quem pode se conectar ao serviço SSO.

6.4 Monitoramento e análises de logs

Implementar alertas de SSO anômalo, revisar logs regularmente e correlacionar eventos de autenticação podem ajudar a detectar tentativas de exploração antes que sejam bem-sucedidas.

Conclusão

A descoberta de que mais de 25 000 dispositivos Fortinet com FortiCloud SSO habilitado estão expostos a ataques remotos por meio de vulnerabilidades críticas de autenticação representa um alerta séríssimo para administradores e equipes de segurança. A combinação de SSO habilitado indevidamente com falhas de verificação de assinatura SAML cria uma superfície de ataque que pode ser explorada por adversários para obter acesso administrativo sem autenticação válida — potencialmente comprometendo toda a infraestrutura de rede.

Esse incidente ressalta a importância de:

• Gestão rigorosa de configurações de autenticação;

• Inventário e patching contínuos de dispositivos de perímetro;

• Monitoramento de ameaças em tempo real e respostas rápidas a exposições de serviços críticos.

Organizações que usam dispositivos Fortinet com FortiCloud SSO devem agir com urgência: aplicar patches, revisar configurações, restringir interfaces administrativas e implantar monitorações robustas de eventos anormais para reduzir riscos de exploração remota e proteger a integridade de suas redes.

Referências Bibliográficas

• Mais de 25 mil dispositivos FortiCloud SSO vulneráveis a ataques remotos — CaveiraTech. Disponível em: https://caveiratech.com/post/mais-de-25-mil-dispositivos-forticloud-sso-vulneraveis-a-ataques-remotos-3859472

• Over 25,000 FortiCloud SSO devices exposed to remote attacks — BleepingComputer. Disponível em: https://www.bleepingcomputer.com/news/security/over-25-000-forticloud-sso-devices-exposed-to-remote-attacks/