Firewall

A Cisco divulgou atualizações de segurança para corrigir duas vulnerabilidades de gravidade máxima em seu software Secure Firewall Management Center (FMC). Essas falhas, identificadas como CVE-2026-20079 e CVE-2026-20131, podem ser exploradas remotamente por atacantes não autenticados. A primeira vulnerabilidade permite o bypass de autenticação, possibilitando que atacantes obtenham acesso root ao sistema operacional subjacente. A segunda, uma vulnerabilidade de execução remota de código (RCE), permite a execução de código Java arbitrário como root em dispositivos não corrigidos. Ambas as falhas afetam o Cisco Secure FMC, mas a CVE-2026-20131 também impacta o Cisco Security Cloud Control (SCC). Até o momento, não há evidências de que essas vulnerabilidades tenham sido exploradas em ataques. A Cisco também corrigiu outras falhas de segurança, incluindo 15 de alta gravidade em diversos produtos. A empresa já havia alertado sobre outra vulnerabilidade crítica em agosto, que permitia a injeção de comandos shell por atacantes não autenticados. Dada a gravidade das falhas, é crucial que as organizações atualizem seus sistemas o mais rápido possível.

Nos últimos anos, a segurança de redes empresariais evoluiu significativamente, mas a crescente utilização de dispositivos móveis exige medidas de segurança adaptadas a seus padrões de operação únicos. O Samsung Knox se destaca nesse cenário, oferecendo um firewall que proporciona controle granular por aplicativo, permitindo que administradores de TI definam regras específicas para cada app, ao invés de aplicar políticas genéricas. Isso resulta em maior visibilidade e eficiência na resposta a incidentes, reduzindo o tempo de investigação de dias para horas.

A Fortinet confirmou que uma falha crítica em seu firewall FortiGate não foi completamente corrigida, mesmo após uma atualização. A vulnerabilidade está relacionada a um problema na ferramenta de autenticação do FortiCloud, permitindo que hackers acessem indevidamente contas de administradores. Nos últimos dias, a empresa recebeu relatos de dispositivos comprometidos, mesmo aqueles que estavam atualizados para a versão mais recente do firmware. A Fortinet está ciente da situação e sua equipe de segurança está trabalhando em uma solução definitiva. Enquanto isso, recomenda que os usuários desativem o recurso FortiCloud SSO e implementem políticas de acesso local para limitar os endereços IP que podem acessar os administradores. A situação é preocupante, pois a falha foi explorada em ataques automatizados, onde criminosos criaram contas com acesso de VPN para roubar configurações. A empresa já emitiu orientações sobre como proceder caso os dispositivos estejam comprometidos, incluindo a restauração das configurações e a verificação de credenciais.

Recentemente, dispositivos Fortinet FortiGate têm sido alvo de ataques automatizados que exploram uma vulnerabilidade na funcionalidade de single sign-on (SSO), permitindo a criação de contas de administrador e o roubo de dados de configuração do firewall. Pesquisadores da Arctic Wolf identificaram que os hackers estão utilizando um script automatizado para abusar dessa falha, semelhante a uma campanha observada em dezembro de 2025, que explorou as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. A Fortinet confirmou que o patch da versão FortiOS 7.4.10 não resolve completamente a vulnerabilidade, e novas versões (7.4.11, 7.6.6 e 8.0.0) estão previstas para lançamento em breve. Os dados roubados podem expor a topologia da rede, regras de segurança e configurações de VPN, permitindo que os atacantes identifiquem serviços vulneráveis e mantenham acesso à rede. Para mitigar riscos, recomenda-se desativar temporariamente a funcionalidade de login do FortiCloud até que os patches sejam aplicados.

Recentemente, a Fortinet confirmou que está trabalhando para corrigir uma vulnerabilidade crítica de bypass de autenticação no FortiCloud SSO, identificada como CVE-2025-59718. Apesar de um patch ter sido disponibilizado em dezembro, administradores relataram que seus firewalls totalmente atualizados estavam sendo comprometidos. A empresa Arctic Wolf informou que os ataques começaram em 15 de janeiro, com invasores criando contas com acesso VPN e roubando configurações de firewall em questão de segundos, sugerindo que os ataques são automatizados. Logs compartilhados por clientes da Fortinet indicam que os invasores criaram usuários administrativos após um login SSO. O CISO da Fortinet, Carl Windsor, alertou que o problema afeta todas as implementações SAML SSO, não apenas o FortiCloud. Enquanto a correção não é disponibilizada, a Fortinet recomenda que os clientes restrinjam o acesso administrativo e desativem o FortiCloud SSO. A CISA já incluiu a CVE-2025-59718 em sua lista de vulnerabilidades ativamente exploradas, exigindo que agências federais apliquem patches rapidamente. Atualmente, quase 11.000 dispositivos Fortinet estão expostos online com o FortiCloud SSO habilitado.

A empresa de cibersegurança Arctic Wolf alertou sobre um novo cluster de atividades maliciosas automatizadas que envolvem mudanças não autorizadas nas configurações de firewall de dispositivos Fortinet FortiGate. Essa atividade teve início em 15 de janeiro de 2026 e apresenta semelhanças com uma campanha anterior de dezembro de 2025, onde logins SSO maliciosos foram registrados em contas administrativas, explorando as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. Essas falhas permitem a bypass não autenticada da autenticação SSO através de mensagens SAML manipuladas, afetando FortiOS, FortiWeb, FortiProxy e FortiSwitchManager.

O cenário de cibersegurança está passando por uma transformação significativa, especialmente com a adoção crescente de arquiteturas multicloud e aplicações em contêineres. O modelo tradicional de segurança, que se baseia em um perímetro rígido, está se mostrando inadequado para as novas realidades, onde o tráfego interno se desloca por infraestruturas públicas, frequentemente sem a devida visibilidade ou controle. Muitas empresas enfrentam dificuldades em integrar firewalls de nuvem em suas estratégias de segurança, resultando em lacunas que podem ser exploradas por atacantes. Além disso, o tráfego de saída, que é a principal via utilizada por invasores para comunicação e exfiltração de dados, muitas vezes não é adequadamente monitorado. A fragmentação das estratégias de segurança, causada pela diversidade de provedores de nuvem e pela complexidade das tecnologias emergentes, cria pontos cegos críticos. Para enfrentar esses desafios, as organizações precisam adotar um modelo de segurança que integre controles diretamente na infraestrutura da nuvem, priorizando a visibilidade e o controle do tráfego, especialmente o lateral, e eliminando a confiança implícita entre as cargas de trabalho. Essa abordagem não apenas protege melhor os dados, mas também permite que as equipes de segurança respondam rapidamente a ameaças, mantendo a agilidade necessária para a inovação.

A Fortinet emitiu um alerta urgente para seus clientes após a descoberta de uma vulnerabilidade crítica em seu firewall de aplicação web, o FortiWeb. Identificada como CVE-2025-64446, essa falha permite que atacantes não autenticados executem comandos administrativos no sistema, apresentando um risco significativo. A vulnerabilidade afeta as versões 7.0.0 a 8.0.1 do FortiWeb e foi corrigida na versão 8.0.2. A gravidade da falha foi classificada com um escore de 9.8 em 10, indicando a necessidade de ação imediata. A Fortinet recomenda que os usuários apliquem o patch ou desativem as interfaces HTTP/HTTPS expostas à internet. A vulnerabilidade já está sendo explorada ativamente, conforme relatórios de pesquisadores de segurança. A CISA (Cybersecurity and Infrastructure Security Agency) incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que agências federais tomem medidas até 21 de novembro. A situação destaca a importância de manter sistemas atualizados e monitorar logs para detectar possíveis modificações não autorizadas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica no firewall WatchGuard Firebox, identificada como CVE-2025-9242. Essa falha, classificada como um erro de gravação fora dos limites (out-of-bounds write), permite que atacantes remotos e não autenticados explorem a vulnerabilidade sem necessidade de credenciais. A exploração dessa falha pode resultar em controle total sobre os dispositivos afetados, comprometendo a segurança da rede. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV) após a confirmação de sua exploração ativa. A agência estabeleceu um prazo rigoroso até 3 de dezembro de 2025 para que as organizações implementem correções, enfatizando a urgência da situação. As organizações são aconselhadas a verificar a disponibilidade de patches e a revisar logs de firewall em busca de atividades suspeitas. Embora não tenham sido relatadas campanhas de ransomware explorando essa vulnerabilidade até o momento, a CISA alerta que a ausência de ataques não deve ser interpretada como segurança. A falha representa um risco significativo para a integridade da rede e a proteção de dados sensíveis.

A SonicWall confirmou que um grupo de ameaças patrocinadas por um Estado foi responsável pela violação de segurança ocorrida em setembro, que resultou na exposição não autorizada de arquivos de backup de configuração de firewall. A empresa esclareceu que a atividade maliciosa foi restrita ao acesso não autorizado a arquivos de backup na nuvem, utilizando uma chamada de API, e que o incidente não está relacionado aos ataques de ransomware Akira que afetam firewalls e outros dispositivos de borda. A SonicWall contratou a Mandiant, empresa pertencente ao Google, para investigar a violação, que afetou menos de 5% de seus clientes que utilizam o serviço de backup na nuvem. A empresa assegurou que seus produtos, firmware e outros sistemas não foram comprometidos e que várias ações corretivas recomendadas pela Mandiant foram implementadas para fortalecer sua infraestrutura de segurança. Os clientes da SonicWall são aconselhados a acessar o MySonicWall.com para verificar seus dispositivos e redefinir as credenciais dos serviços afetados, se necessário. Além disso, a empresa disponibilizou ferramentas online para análise e redefinição de credenciais, visando aumentar a segurança dos serviços.

A SonicWall anunciou que um grupo não autorizado teve acesso a arquivos de backup de configuração de firewall de todos os clientes que utilizam seu serviço de backup em nuvem. Embora as credenciais contidas nesses arquivos estejam criptografadas, a empresa alertou que a posse desses arquivos pode aumentar o risco de ataques direcionados. A SonicWall está notificando todos os parceiros e clientes e disponibilizou ferramentas para avaliação e remediação dos dispositivos afetados. Os clientes são aconselhados a acessar suas contas no MySonicWall.com para verificar se seus firewalls estão impactados. A empresa classificou os dispositivos afetados em três categorias, com prioridade alta para aqueles com serviços expostos à internet. Este incidente segue um alerta anterior da SonicWall sobre a necessidade de redefinição de credenciais após a exposição de arquivos de configuração em uma violação de segurança que afetou contas do MySonicWall. A SonicWall ainda não revelou quantos clientes utilizam o serviço de backup em nuvem, nem a identidade dos atacantes, mas afirmou que reforçou sua infraestrutura e implementou controles de autenticação mais rigorosos para evitar recorrências.

O SafeLine WAF, um firewall de aplicação web gratuito e repleto de recursos, alcançou um marco significativo ao ultrapassar 400 mil implantações em todo o mundo. Com mais de 17.700 estrelas no GitHub, tornou-se o projeto de firewall web mais popular na plataforma, sendo amplamente reconhecido por desenvolvedores, administradores de sistemas e empresas.

Dentre suas principais vantagens, destaca-se a facilidade de instalação, que pode ser realizada com um único comando, permitindo que até mesmo aqueles sem profundo conhecimento em segurança possam implementá-lo. A interface de gerenciamento é limpa e intuitiva, facilitando a configuração de políticas de segurança e a revisão de logs. Além disso, o SafeLine oferece proteção robusta a um custo acessível, com edições gratuitas e pagas para diferentes necessidades.

A SonicWall alertou seus clientes sobre a exposição de arquivos de backup de configuração de firewall em uma violação de segurança que afetou contas do MySonicWall. A empresa detectou atividades suspeitas direcionadas ao serviço de backup em nuvem, resultando no acesso não autorizado a arquivos de preferência de firewall de menos de 5% de seus clientes. Embora as credenciais dentro dos arquivos estivessem criptografadas, informações contidas neles poderiam facilitar a exploração dos firewalls. A SonicWall não registrou vazamentos online desses arquivos e afirmou que o incidente não foi um ataque de ransomware, mas uma série de ataques de força bruta. Os clientes afetados foram orientados a verificar se os backups em nuvem estão habilitados, revisar logs e implementar procedimentos de contenção, como limitar o acesso a serviços e redefinir senhas. Além disso, a SonicWall disponibilizou novos arquivos de preferência que incluem senhas aleatórias para usuários locais e chaves VPN IPSec randomizadas. O alerta surge em um contexto em que grupos de ransomware, como o Akira, continuam a explorar dispositivos SonicWall não corrigidos, aproveitando uma vulnerabilidade crítica conhecida (CVE-2024-40766).

No cenário atual de cibersegurança, os Firewalls de Próxima Geração (NGFW) são essenciais para proteger redes contra ameaças sofisticadas. Diferente dos firewalls tradicionais, os NGFWs oferecem funcionalidades avançadas, como inspeção profunda de pacotes, controle de aplicações e prevenção de ameaças. Em 2025, a necessidade de soluções robustas se intensifica com a migração para ambientes em nuvem e o aumento do trabalho remoto. Este artigo destaca os 10 melhores fornecedores de NGFW, como Palo Alto Networks e Fortinet, analisando suas características, desempenho e integração com ecossistemas de segurança mais amplos. Os NGFWs são projetados para detectar e prevenir ataques conhecidos e desconhecidos, oferecendo controle granular sobre aplicações e usuários. A escolha do fornecedor ideal deve considerar a escalabilidade, facilidade de gerenciamento e a capacidade de se integrar a outras soluções de segurança. Com a evolução constante das ameaças, a implementação de um NGFW eficaz é crucial para a proteção das organizações.

Em um cenário digital em constante evolução, a segurança das aplicações web se tornou uma prioridade para as empresas. Os Firewalls de Aplicações Web (WAF) atuam como uma camada de proteção, filtrando e bloqueando tráfego malicioso antes que ele alcance os servidores. Este artigo analisa as 10 melhores soluções de WAF para 2025, considerando critérios como proteção contra ameaças, facilidade de gerenciamento e integração com ambientes em nuvem. As soluções variam de plataformas empresariais a serviços nativos da nuvem, todas projetadas para oferecer proteção robusta contra ataques como injeção SQL e DDoS. A seleção foi baseada em um processo rigoroso que priorizou a eficácia na detecção de ameaças, a escalabilidade e a reputação dos fornecedores. Entre as soluções destacadas estão Fortinet FortiWeb, AWS WAF e Cloudflare WAF, cada uma com características específicas que atendem a diferentes necessidades de segurança. A escolha de um WAF adequado é crucial para garantir a integridade e a confidencialidade dos serviços digitais, especialmente em um ambiente de ameaças cada vez mais sofisticado.

O firewall é uma ferramenta essencial na cibersegurança, atuando como uma barreira entre a rede de um computador e a internet, semelhante a um segurança de festa que controla quem pode entrar ou sair. Ele é crucial para prevenir ataques cibernéticos, como roubo de dados e instalação de malwares. Os firewalls podem ser encontrados tanto em roteadores quanto em sistemas operacionais, como o Windows e o macOS. Existem diferentes tipos de firewalls, incluindo os de filtragem de pacotes, que analisam dados individualmente, e os de inspeção de estado, que monitoram conexões ativas. Os firewalls de próxima geração oferecem funcionalidades avançadas, como prevenção de intrusões e inspeção profunda de pacotes. Embora muitos usuários confiem nos firewalls nativos de seus sistemas, existem soluções de terceiros que oferecem proteção adicional. É fundamental manter esses sistemas atualizados e ativos para garantir a segurança da rede, especialmente em ambientes públicos.

Uma nova vulnerabilidade, identificada como CVE-2025-50975, afeta a versão 2.29 do IPFire, um firewall amplamente utilizado. Essa falha permite que usuários autenticados com altos privilégios realizem ataques de cross-site scripting (XSS) persistente através da interface web do firewall. A vulnerabilidade se origina na falta de validação de entrada e sanitização em vários parâmetros de regras do firewall, como PROT, SRC_PORT e TGT_PORT. Isso possibilita que um atacante injete código JavaScript malicioso que será executado sempre que outro administrador acessar a página de regras do firewall. As consequências incluem roubo de cookies de autenticação, alterações não autorizadas nas regras do firewall e potencial acesso a sistemas internos. A exploração é considerada de baixa complexidade, exigindo apenas acesso à interface gráfica do usuário. Para mitigar os riscos, os administradores devem atualizar para a versão corrigida do IPFire imediatamente e implementar medidas temporárias, como restringir o acesso à interface e monitorar logs em busca de atividades suspeitas.

A Cisco identificou uma vulnerabilidade crítica, classificada como 10/10, em seu produto Secure Firewall Management Center (FMC). Essa falha, localizada no subsistema RADIUS, pode permitir que um atacante remoto não autenticado injete comandos de shell arbitrários, comprometendo a segurança do sistema. O RADIUS é um protocolo utilizado para autenticar e autorizar administradores e usuários de VPN, e a exploração da falha requer que o FMC esteja configurado para autenticação RADIUS. Essa configuração é comum em redes empresariais e governamentais, aumentando o risco de ataques. A Cisco já disponibilizou um patch para corrigir a vulnerabilidade e recomenda que os usuários que não puderem aplicar a atualização desativem a autenticação RADIUS, optando por métodos alternativos, como contas de usuário locais ou LDAP. Embora não haja evidências de exploração ativa da falha até o momento, a empresa alerta que a superfície de ataque é significativa, dada a popularidade do FMC em ambientes críticos.

A Cisco divulgou uma vulnerabilidade crítica em seu software Secure Firewall Management Center (FMC), que permite que atacantes remotos não autenticados executem comandos de shell arbitrários nos sistemas afetados. A falha, identificada como CVE-2025-20265, recebeu a pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), indicando sua gravidade e potencial de exploração. O problema reside na implementação do subsistema RADIUS do software, especificamente na forma como o sistema lida com a entrada do usuário durante a autenticação. Um atacante pode explorar essa vulnerabilidade enviando entradas maliciosas durante o login, permitindo a injeção de comandos que são executados com altos níveis de privilégio. A vulnerabilidade afeta as versões 7.0.7 e 7.7.0 do Cisco Secure FMC, mas apenas quando a autenticação RADIUS está habilitada. A Cisco recomenda que as organizações afetadas apliquem as atualizações de segurança disponíveis e considerem desabilitar temporariamente a autenticação RADIUS, utilizando métodos alternativos como contas de usuário locais ou autenticação LDAP externa. A empresa também confirmou que outros produtos de firewall não são afetados por essa falha.

A Cisco emitiu um alerta de segurança crítico sobre uma vulnerabilidade de alta severidade em seu software Secure Firewall Threat Defense (FTD), que pode permitir que atacantes realizem ataques de negação de serviço (DoS). A falha, identificada como CVE-2025-20217, afeta o componente Snort 3 Detection Engine e foi publicada em 14 de agosto de 2025. Com uma pontuação CVSS de 8.6, a vulnerabilidade resulta do processamento incorreto de tráfego de rede durante a inspeção de pacotes. Um atacante remoto não autenticado pode explorar essa falha enviando tráfego especialmente elaborado, fazendo com que o sistema entre em um loop infinito durante a inspeção, resultando em uma condição de DoS que pode interromper funções críticas de segurança da rede. A Cisco recomenda que as organizações verifiquem se o Snort 3 está ativo em suas instalações do FTD, pois apenas dispositivos com esse motor habilitado são suscetíveis. Não existem soluções alternativas, e a única forma de mitigar o problema é através da atualização do software, que já está disponível gratuitamente para clientes com contratos de serviço ativos. A empresa não encontrou evidências de exploração ativa da vulnerabilidade até o momento.