Nova atividade maliciosa afeta dispositivos Fortinet FortiGate

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

A empresa de cibersegurança Arctic Wolf alertou sobre um novo cluster de atividades maliciosas automatizadas que envolvem mudanças não autorizadas nas configurações de firewall de dispositivos Fortinet FortiGate. Essa atividade teve início em 15 de janeiro de 2026 e apresenta semelhanças com uma campanha anterior de dezembro de 2025, onde logins SSO maliciosos foram registrados em contas administrativas, explorando as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. Essas falhas permitem a bypass não autenticada da autenticação SSO através de mensagens SAML manipuladas, afetando FortiOS, FortiWeb, FortiProxy e FortiSwitchManager.

Os atacantes têm criado contas genéricas para garantir persistência, realizando mudanças nas configurações que concedem acesso VPN a essas contas e exportando as configurações do firewall. Os logins maliciosos foram realizados a partir de quatro endereços IP distintos, e os atacantes também criaram contas secundárias como “secadmin” e “itadmin”. A Arctic Wolf observou que todos esses eventos ocorreram em questão de segundos, sugerindo a possibilidade de automação. A situação é preocupante, especialmente considerando que usuários relataram logins maliciosos em dispositivos FortiOS totalmente atualizados, e a equipe de desenvolvimento da Fortinet confirmou que a vulnerabilidade persiste na versão 7.4.10. Recomenda-se desativar a configuração “admin-forticloud-sso-login” como medida de precaução.

Fonte: https://thehackernews.com/2026/01/automated-fortigate-attacks-exploit.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
22/01/2026 • Risco: CRITICO
VULNERABILIDADE

Nova atividade maliciosa afeta dispositivos Fortinet FortiGate

RESUMO EXECUTIVO
O incidente representa uma ameaça significativa para a segurança de redes que utilizam dispositivos Fortinet, com a exploração de vulnerabilidades que permitem acesso não autorizado e manipulação de configurações. A rápida automação dos ataques e a persistência dos invasores aumentam a urgência para que as organizações adotem medidas de mitigação imediatas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados à recuperação de dados e mitigação de danos.
Operacional
Mudanças não autorizadas nas configurações do firewall e criação de contas maliciosas.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de telecomunicações']

📊 INDICADORES CHAVE

Quatro endereços IP utilizados para logins maliciosos. Indicador
Contas secundárias criadas para persistência. Contexto BR
Vulnerabilidades CVE-2025-59718 e CVE-2025-59719 exploradas. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e configurações de firewall em dispositivos Fortinet.
2 Desativar a configuração 'admin-forticloud-sso-login' imediatamente.
3 Monitorar continuamente atividades suspeitas e tentativas de login em dispositivos Fortinet.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de dispositivos Fortinet, que são amplamente utilizados, e a possibilidade de exploração de vulnerabilidades críticas.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de exploração de vulnerabilidades.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).