Fortigate

Recentemente, dispositivos Fortinet FortiGate têm sido alvo de ataques automatizados que exploram uma vulnerabilidade na funcionalidade de single sign-on (SSO), permitindo a criação de contas de administrador e o roubo de dados de configuração do firewall. Pesquisadores da Arctic Wolf identificaram que os hackers estão utilizando um script automatizado para abusar dessa falha, semelhante a uma campanha observada em dezembro de 2025, que explorou as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. A Fortinet confirmou que o patch da versão FortiOS 7.4.10 não resolve completamente a vulnerabilidade, e novas versões (7.4.11, 7.6.6 e 8.0.0) estão previstas para lançamento em breve. Os dados roubados podem expor a topologia da rede, regras de segurança e configurações de VPN, permitindo que os atacantes identifiquem serviços vulneráveis e mantenham acesso à rede. Para mitigar riscos, recomenda-se desativar temporariamente a funcionalidade de login do FortiCloud até que os patches sejam aplicados.

Dispositivos Fortinet FortiGate estão sendo alvo de ataques automatizados que criam contas não autorizadas e roubam dados de configuração do firewall, conforme relatado pela empresa de cibersegurança Arctic Wolf. A campanha começou em 15 de janeiro, com os atacantes explorando uma vulnerabilidade desconhecida na funcionalidade de login único (SSO) dos dispositivos, permitindo a criação de contas com acesso VPN e a exportação de configurações de firewall em questão de segundos. Esses ataques são semelhantes a incidentes documentados em dezembro, após a divulgação de uma vulnerabilidade crítica de bypass de autenticação (CVE-2025-59718) nos produtos da Fortinet. Embora a Fortinet tenha lançado patches, relatos indicam que a versão mais recente do FortiOS (7.4.10) não resolve completamente a falha de autenticação. Para mitigar os riscos, a Arctic Wolf recomenda que os administradores desativem temporariamente o recurso de login SSO do FortiCloud até que um patch completo seja disponibilizado. A CISA também incluiu a CVE-2025-59718 em seu catálogo de falhas exploradas em ataques, exigindo que agências federais realizem correções em uma semana.

A empresa de cibersegurança Arctic Wolf alertou sobre um novo cluster de atividades maliciosas automatizadas que envolvem mudanças não autorizadas nas configurações de firewall de dispositivos Fortinet FortiGate. Essa atividade teve início em 15 de janeiro de 2026 e apresenta semelhanças com uma campanha anterior de dezembro de 2025, onde logins SSO maliciosos foram registrados em contas administrativas, explorando as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. Essas falhas permitem a bypass não autenticada da autenticação SSO através de mensagens SAML manipuladas, afetando FortiOS, FortiWeb, FortiProxy e FortiSwitchManager.