{"id":23718,"date":"2025-12-22T08:00:00","date_gmt":"2025-12-22T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23718"},"modified":"2025-12-20T16:33:52","modified_gmt":"2025-12-20T19:33:52","slug":"mais-de-25-mil-dispositivos-forticloud-sso-vulneraveis-a-ataques-remotos","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/12\/exploits\/mais-de-25-mil-dispositivos-forticloud-sso-vulneraveis-a-ataques-remotos\/","title":{"rendered":"Mais de 25 mil dispositivos FortiCloud SSO vulner\u00e1veis a ataques remotos"},"content":{"rendered":"\n

Mais de 25 mil dispositivos FortiCloud SSO vulner\u00e1veis a ataques remotos \u2014 e o que isso significa para sua infraestrutura<\/strong><\/p>\n

Uma investiga\u00e7\u00e3o recente revelou que mais de 25 000 dispositivos da Fortinet com FortiCloud Single Sign-On (SSO) habilitado est\u00e3o expostos na internet e vulner\u00e1veis a ataques remotos cr\u00edticos<\/strong>. A descoberta, feita pela Shadowserver Foundation, evidencia um problema de seguran\u00e7a amplo em configura\u00e7\u00f5es corporativas que dependem de autentica\u00e7\u00e3o de identidade centralizada \u2014 um componente cada vez mais cr\u00edtico em ambientes conectados e h\u00edbridos.\u00a0<\/p>\n

Essas vulnerabilidades, rastreadas como CVE-2025-59718<\/strong> e CVE-2025-59719<\/strong>, afetam diversos produtos da fam\u00edlia Fortinet (como FortiOS, FortiProxy, FortiWeb e FortiSwitchManager) quando o FortiCloud SSO est\u00e1 ativo. Se exploradas, podem permitir a invas\u00e3o remota de componentes de rede essenciais, expondo interfaces administrativas, dados sens\u00edveis de configura\u00e7\u00e3o e at\u00e9 credenciais administrativas.\u00a0<\/p>\n

Este artigo analisa em profundidade o contexto t\u00e9cnico dessas vulnerabilidades, os riscos operacionais para empresas, melhores pr\u00e1ticas de defesa e por que a exposi\u00e7\u00e3o de dispositivos Fortinet no per\u00edmetro deve ser tratada como prioridade m\u00e1xima pelos times de seguran\u00e7a.<\/p>\n

\u00a0<\/p>\n

1. O que \u00e9 FortiCloud SSO e por que \u00e9 relevante<\/strong><\/p>\n

Single Sign-On (SSO)<\/strong> \u00e9 um mecanismo de autentica\u00e7\u00e3o que permite a usu\u00e1rios entrarem em m\u00faltiplos sistemas ou aplica\u00e7\u00f5es com uma \u00fanica credencial. No contexto de dispositivos de rede, o FortiCloud SSO integra dispositivos Fortinet ao servi\u00e7o FortiCloud, permitindo que administradores fa\u00e7am login e gerenciem pol\u00edticas de forma centralizada.<\/p>\n

O problema surge quando essa integra\u00e7\u00e3o \u00e9 feita de forma insegura ou sem controles adequados. Em muitos casos, a funcionalidade FortiCloud SSO \u00e9 ativada durante a configura\u00e7\u00e3o inicial da plataforma sem que medidas adicionais de prote\u00e7\u00e3o sejam aplicadas pelos administradores \u2014 expondo interfaces cr\u00edticas de autentica\u00e7\u00e3o ao tr\u00e1fego externo n\u00e3o controlado<\/strong>.\u00a0<\/p>\n

\u00a0<\/p>\n

2. As vulnerabilidades cr\u00edticas CVE-2025-59718 e CVE-2025-59719<\/strong><\/p>\n

2.1 CVE-2025-59718 \u2014 Bypass de autentica\u00e7\u00e3o FortiCloud SSO<\/strong><\/p>\n

Essa vulnerabilidade decorre de uma falha na verifica\u00e7\u00e3o de assinaturas criptogr\u00e1ficas em mensagens SAML<\/strong> (Security Assertion Markup Language) usadas durante o processo de SSO. Um atacante remoto pode enviar uma mensagem SAML maliciosamente criada que contorne os controles de autentica\u00e7\u00e3o do FortiCloud SSO.<\/p>\n

Quando bem sucedido, o invasor pode obter acesso administrativo n\u00e3o autenticado<\/strong> \u00e0 interface de gerenciamento de dispositivos afetados \u2014 incluindo firewalls, proxy e gerenciadores de switches.\u00a0<\/p>\n

\u00a0<\/p>\n

2.2 CVE-2025-59719 \u2014 Vulnerabilidade semelhante em FortiWeb<\/strong><\/p>\n

De forma semelhante, essa falha afeta o Fortinet FortiWeb (firewall de aplica\u00e7\u00e3o web), permitindo que um atacante contorne a autentica\u00e7\u00e3o SSO do servi\u00e7o por meio de mensagens SAML manipuladas.<\/p>\n

Ambas as falhas t\u00eam uma pontua\u00e7\u00e3o de severidade CVSS de 9,8\/10<\/strong>, indicando risco cr\u00edtico com potencial de impacto massivo se exploradas com sucesso.\u00a0<\/p>\n

\u00a0<\/p>\n

3. Exposi\u00e7\u00e3o global \u2014 mais de 25 000 dispositivos identificados<\/strong><\/p>\n

Relat\u00f3rios recentes mostram que a Shadowserver Foundation, um grupo que monitora amea\u00e7as e exposi\u00e7\u00e3o de dispositivos em larga escala, identificou pelo menos 25 000 endere\u00e7os IP globais<\/strong> que exibem dispositivos Fortinet com FortiCloud SSO habilitado.\u00a0<\/p>\n

Essa contagem representa apenas os dispositivos detectados em uma passiva varredura de internet \u2014 ou seja, o n\u00famero real pode ser ainda maior. A exposi\u00e7\u00e3o \u00e9 preocupante porque:<\/p>\n