Fortinet

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do FortiClient Enterprise Management Server (EMS) contra uma vulnerabilidade criticamente explorada, identificada como CVE-2026-35616. Esta falha, descoberta pela empresa de cibersegurança Defused, permite que atacantes contornem controles de autenticação e autorização, possibilitando a execução de comandos maliciosos. A Fortinet, fabricante do FortiClient, lançou correções de emergência e alertou que a vulnerabilidade está sendo ativamente explorada em ataques zero-day. A CISA incluiu a CVE-2026-35616 em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e exigiu que as agências federais aplicassem patches até a meia-noite de 9 de abril. Apesar de a ordem se aplicar apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizassem a correção dessa vulnerabilidade. Atualmente, cerca de 2.000 instâncias do FortiClient EMS estão expostas na internet, com mais de 1.400 IPs localizados nos EUA e na Europa, aumentando a urgência para a aplicação das correções.

A Fortinet divulgou um alerta sobre uma vulnerabilidade crítica no FortiClient Enterprise Management Server (EMS), identificada como CVE-2026-35616, que está sendo ativamente explorada em ataques. Esta falha de controle de acesso inadequado permite que atacantes não autenticados executem comandos ou códigos maliciosos por meio de requisições especialmente elaboradas. A vulnerabilidade afeta as versões 7.4.5 e 7.4.6 do FortiClient EMS, e a empresa recomenda que os clientes vulneráveis instalem imediatamente os hotfixes disponíveis. A falha foi descoberta pela empresa de cibersegurança Defused, que observou sua exploração como um zero-day antes de reportá-la à Fortinet. Além disso, a Shadowserver identificou mais de 2.000 instâncias expostas do FortiClient EMS, principalmente nos EUA e na Alemanha. A Fortinet também está trabalhando em uma correção para a versão 7.4.7 do software. A empresa enfatiza a urgência da atualização, especialmente após a identificação de outra vulnerabilidade crítica no mesmo sistema, o CVE-2026-21643, que foi reportada na semana anterior e também está sendo explorada em ataques.

A Fortinet divulgou patches fora do ciclo regular para uma vulnerabilidade crítica no FortiClient EMS, identificada como CVE-2026-35616, com uma pontuação CVSS de 9.1. Essa falha permite que atacantes não autenticados contornem controles de acesso da API, possibilitando a execução de comandos maliciosos. A vulnerabilidade afeta as versões 7.4.5 a 7.4.6 do FortiClient EMS e já foi observada em exploração ativa. A empresa recomenda que os usuários apliquem um hotfix imediatamente, uma vez que a exploração dessa falha pode resultar em escalonamento de privilégios. A descoberta foi feita por pesquisadores da Defused Cyber e Nguyen Duc Anh, que notaram tentativas de exploração em honeypots desde 31 de março de 2026. Este incidente ocorre pouco tempo após outra vulnerabilidade crítica no mesmo produto, o que levanta preocupações sobre a segurança contínua do FortiClient EMS. A Fortinet alerta que a exploração de vulnerabilidades tende a aumentar durante feriados, quando as equipes de segurança estão menos atentas. Portanto, é crucial que as organizações afetadas tratem essa situação como uma emergência e atualizem seus sistemas o mais rápido possível.

Uma vulnerabilidade crítica, identificada como CVE-2026-21643, foi descoberta na plataforma FortiClient EMS da Fortinet e está sendo ativamente explorada por atacantes. Essa falha de injeção SQL permite que agentes mal-intencionados não autenticados executem comandos arbitrários em sistemas não corrigidos, utilizando ataques de baixa complexidade direcionados à interface web do FortiClient EMS. A vulnerabilidade afeta a versão 7.4.4 do FortiClient EMS e pode ser corrigida com a atualização para a versão 7.4.5 ou posterior. Apesar de a CISA não ter listado a vulnerabilidade como explorada, dados recentes indicam que a exploração começou há apenas quatro dias. A empresa Fortinet ainda não atualizou seu aviso de segurança sobre a situação. Atualmente, cerca de 1.000 instâncias do FortiClient EMS estão expostas publicamente, com mais de 1.400 IPs localizados nos Estados Unidos e na Europa. A exploração de vulnerabilidades da Fortinet é comum em ataques de ransomware e campanhas de espionagem cibernética, o que torna a situação ainda mais crítica para as empresas que utilizam essa tecnologia.

Um novo relatório revela que um ator de ameaças, supostamente ligado a grupos de língua russa, utilizou uma plataforma de teste de segurança assistida por inteligência artificial chamada CyberStrikeAI para atacar dispositivos Fortinet FortiGate. A análise da Team Cymru identificou o uso dessa ferramenta, que integra mais de 100 ferramentas de segurança, para realizar varreduras automatizadas em busca de vulnerabilidades. Entre janeiro e fevereiro de 2026, foram observados 21 endereços IP únicos executando o CyberStrikeAI, com servidores localizados principalmente na China, Cingapura e Hong Kong. A campanha comprometeu mais de 600 dispositivos em 55 países, utilizando serviços de IA generativa como Anthropic Claude e DeepSeek. O desenvolvedor da ferramenta, conhecido como Ed1s0nZ, tem laços com o governo chinês e interage com empresas que apoiam operações cibernéticas estatais. A crescente adoção de ferramentas de segurança ofensiva baseadas em IA, como o CyberStrikeAI, representa uma evolução preocupante na cibersegurança, exigindo atenção especial de profissionais da área.

Pesquisadores alertam sobre o uso da nova plataforma de teste de segurança de IA de código aberto, CyberStrikeAI, por um ator de ameaça que comprometeu recentemente centenas de firewalls Fortinet FortiGate. Em uma operação que durou cinco semanas, mais de 500 dispositivos FortiGate foram afetados. A equipe de inteligência de ameaças da Team Cymru identificou que o mesmo endereço IP, 212.11.64[.]250, estava executando o CyberStrikeAI, que permite a automação de ataques cibernéticos, mesmo por operadores com habilidades limitadas. A plataforma combina mais de 100 ferramentas de segurança e um motor de orquestração inteligente, facilitando a descoberta de vulnerabilidades e a visualização de resultados. Os pesquisadores observaram 21 endereços IP únicos executando o CyberStrikeAI entre janeiro e fevereiro de 2026, com servidores principalmente na China, Singapura e Hong Kong. A crescente adoção de ferramentas de orquestração nativas de IA por adversários pode acelerar o direcionamento automatizado de dispositivos expostos, como firewalls e appliances de VPN. O desenvolvedor do CyberStrikeAI, conhecido como ‘Ed1s0nZ’, tem vínculos com operações cibernéticas supostamente ligadas ao governo chinês, o que levanta preocupações sobre a segurança global.

A Amazon alertou sobre uma campanha de hackers de língua russa que utilizou serviços de IA generativa para comprometer mais de 600 firewalls FortiGate em 55 países em um período de cinco semanas, entre 11 de janeiro e 18 de fevereiro de 2026. O relatório de CJ Moses, CISO da Amazon Integrated Security, revela que os invasores não exploraram falhas conhecidas, mas sim atacaram interfaces de gerenciamento expostas e utilizaram credenciais fracas sem proteção de autenticação multifator (MFA). Após a invasão, os hackers extraíram configurações críticas dos dispositivos, incluindo credenciais de usuários e políticas de firewall, utilizando ferramentas automatizadas que demonstraram características típicas de código gerado por IA. A campanha também visou servidores de backup da Veeam, utilizando scripts PowerShell personalizados para extrair credenciais. Apesar de os invasores terem um nível de habilidade considerado baixo a médio, o uso de IA potencializou suas capacidades, permitindo a execução de ataques que normalmente estariam além de suas habilidades. A Amazon recomenda que administradores de FortiGate não exponham interfaces de gerenciamento à internet e implementem MFA para proteger suas redes.

Um ator de ameaças de língua russa, motivado financeiramente, comprometeu mais de 600 dispositivos FortiGate em 55 países, utilizando serviços comerciais de inteligência artificial generativa. A campanha, observada entre 11 de janeiro e 18 de fevereiro de 2026, não explorou vulnerabilidades conhecidas, mas sim portas de gerenciamento expostas e credenciais fracas com autenticação de fator único. O uso de ferramentas de IA permitiu que um ator com capacidades técnicas limitadas escalasse suas operações de ataque. Os atacantes conseguiram acessar ambientes do Active Directory, extrair bancos de dados de credenciais e até mesmo atacar a infraestrutura de backup, possivelmente preparando o terreno para um ataque de ransomware. A atividade incluiu a varredura sistemática de interfaces de gerenciamento FortiGate expostas à internet e tentativas de autenticação com credenciais comumente reutilizadas. A Amazon recomenda que as organizações garantam que as interfaces de gerenciamento não estejam expostas, mudem credenciais padrão e implementem autenticação multifatorial para acesso administrativo. Com a expectativa de que essa tendência continue em 2026, é crucial que as empresas adotem medidas defensivas robustas.

A Fortinet divulgou atualizações de segurança para corrigir uma falha crítica no FortiClientEMS, identificada como CVE-2026-21643, que pode permitir a execução de código arbitrário em sistemas vulneráveis. Com uma pontuação CVSS de 9.1, a vulnerabilidade é classificada como uma injeção SQL, permitindo que atacantes não autenticados executem comandos não autorizados através de requisições HTTP manipuladas. As versões afetadas incluem FortiClientEMS 7.4.4, que deve ser atualizada para a versão 7.4.5 ou superior. As versões 7.2 e 8.0 não são afetadas. Embora a Fortinet não tenha relatado exploração ativa da falha, é crucial que os usuários apliquem as correções rapidamente. Essa atualização ocorre em um contexto onde a empresa também lidou com outra vulnerabilidade crítica em seus produtos FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb, que já está sendo explorada ativamente por atacantes. A rápida aplicação das atualizações é essencial para mitigar riscos de segurança.

Recentemente, a ferramenta de login único (SSO) da Fortinet foi alvo de uma vulnerabilidade crítica, identificada como CVE-2026-24858, com um score de 9,8. Essa falha permitiu que hackers, com contas FortiCloud ativas, acessassem dispositivos de outros usuários sem a necessidade de senha, contanto que o SSO estivesse ativado. A Fortinet desabilitou temporariamente a ferramenta para proteger os usuários, embora tenha destacado que o SSO não é ativado por padrão, o que salvou a maioria dos usuários da exposição. A empresa já havia corrigido uma falha semelhante em dezembro de 2025, mas a exploração continuou, levando à descoberta da nova vulnerabilidade. A Fortinet recomenda que os usuários atualizem seus sistemas para versões corrigidas. A empresa de segurança Shadowserver estima que cerca de 10.000 instâncias foram ameaçadas, uma diminuição em relação às 25.000 identificadas anteriormente. A situação destaca a importância de manter sistemas atualizados e a vigilância constante contra vulnerabilidades.

Em 29 de dezembro de 2025, o CERT Polska, equipe de resposta a emergências cibernéticas da Polônia, revelou que mais de 30 usinas de energia renovável, uma empresa do setor de manufatura e uma grande planta de cogeração foram alvo de ataques cibernéticos coordenados. Os ataques foram atribuídos a um grupo de ameaças conhecido como Static Tundra, supostamente vinculado ao Serviço Federal de Segurança da Rússia (FSB). Embora as usinas de energia tenham enfrentado interrupções na comunicação com os operadores de distribuição, a produção de eletricidade não foi afetada. Os atacantes conseguiram acessar redes internas, danificando firmware e lançando malware destrutivo, como o DynoWiper. No caso da planta de cogeração, houve tentativas de roubo de dados desde março de 2025, mas os ataques não conseguiram interromper o fornecimento de calor. A vulnerabilidade de dispositivos Fortinet foi um vetor de entrada para os atacantes, que utilizaram credenciais comprometidas para acessar serviços em nuvem. O CERT Polska destacou que o uso de múltiplas contas sem autenticação de dois fatores facilitou a intrusão.

A Fortinet anunciou a liberação de atualizações de segurança para corrigir uma falha crítica no FortiOS, identificada como CVE-2026-24858, com uma pontuação CVSS de 9.4. Essa vulnerabilidade, que permite a bypass de autenticação no sistema de login único (SSO) do FortiCloud, afeta também o FortiManager e o FortiAnalyzer. A falha possibilita que um atacante com uma conta FortiCloud e um dispositivo registrado consiga acessar outros dispositivos vinculados a contas diferentes, caso a autenticação SSO esteja habilitada. Embora essa funcionalidade não esteja ativada por padrão, a Fortinet alertou que administradores que registram dispositivos no FortiCare podem ativá-la inadvertidamente.

A Fortinet confirmou uma nova vulnerabilidade crítica de bypass de autenticação no FortiCloud Single Sign-On (SSO), identificada como CVE-2026-24858. Essa falha permite que atacantes obtenham acesso administrativo a dispositivos FortiOS, FortiManager e FortiAnalyzer registrados por outros clientes, mesmo que esses dispositivos estejam atualizados contra vulnerabilidades anteriores. A confirmação da exploração ativa ocorreu após relatos de clientes sobre comprometimentos em firewalls FortiGate, onde atacantes criaram novas contas de administrador local através do FortiCloud SSO. A Fortinet tomou medidas imediatas, bloqueando conexões SSO do FortiCloud de dispositivos com versões de firmware vulneráveis e desativando contas abusadas. Embora a exploração tenha sido observada apenas no FortiCloud SSO, a empresa alertou que a questão pode afetar outras implementações SAML SSO. A Fortinet recomenda que os administradores restrinjam o acesso administrativo e desativem o FortiCloud SSO até que patches sejam disponibilizados. A vulnerabilidade foi classificada como crítica, com um CVSS de 9.4, e os atacantes foram identificados utilizando contas específicas para comprometer dispositivos e exfiltrar configurações.

Pesquisadores do FortiGuard Labs, da Fortinet, identificaram uma nova campanha de phishing que distribui ransomwares e o trojan de acesso remoto Amnesia RAT, com foco principal na Rússia. Os cibercriminosos utilizam técnicas de engenharia social, disfarçando seus ataques como documentos rotineiros. O que torna essa ameaça particularmente avançada é o uso de serviços de nuvem, como GitHub e Dropbox, para entregar diferentes payloads maliciosos, o que complica a detecção e mitigação. Além disso, os hackers exploram uma ferramenta legítima chamada defendnot para desabilitar o Microsoft Defender, o antivírus padrão do Windows. O ataque envolve o envio de arquivos comprimidos que contêm documentos falsos e um atalho malicioso, que, ao ser executado, baixa o malware via PowerShell. O Amnesia RAT é capaz de roubar informações sensíveis, como dados de navegadores e carteiras de criptomoeda, enquanto o ransomware Hakuna Matata criptografa arquivos e exige resgate. Os pesquisadores alertam que essa campanha demonstra uma nova abordagem, onde os malwares não exploram vulnerabilidades de software, mas abusam de características nativas do Windows, o que torna a defesa ainda mais desafiadora.

O artigo destaca a crescente vulnerabilidade em sistemas de segurança, evidenciada por falhas em ferramentas amplamente utilizadas. Um exemplo crítico é a exploração de uma vulnerabilidade de autenticação em firewalls da Fortinet, que, mesmo após atualizações, ainda apresenta riscos. A empresa confirmou que a falha, relacionada aos CVEs 2025-59718 e 2025-59719, permite que atacantes contornem a autenticação SSO, mesmo em dispositivos atualizados. Além disso, o surgimento de malware como o VoidLink, gerado quase inteiramente por inteligência artificial, representa uma nova era na criação de software malicioso, complicando a atribuição de ataques. Outro ponto alarmante é a vulnerabilidade crítica no daemon telnetd do GNU InetUtils, que permite acesso não autorizado a sistemas, afetando versões desde 1.9.3 até 2.7. O uso de técnicas de vishing e campanhas de malvertising também são destacados, mostrando que os atacantes estão se adaptando rapidamente. O cenário atual exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

A Fortinet confirmou que uma falha crítica em seu firewall FortiGate não foi completamente corrigida, mesmo após uma atualização. A vulnerabilidade está relacionada a um problema na ferramenta de autenticação do FortiCloud, permitindo que hackers acessem indevidamente contas de administradores. Nos últimos dias, a empresa recebeu relatos de dispositivos comprometidos, mesmo aqueles que estavam atualizados para a versão mais recente do firmware. A Fortinet está ciente da situação e sua equipe de segurança está trabalhando em uma solução definitiva. Enquanto isso, recomenda que os usuários desativem o recurso FortiCloud SSO e implementem políticas de acesso local para limitar os endereços IP que podem acessar os administradores. A situação é preocupante, pois a falha foi explorada em ataques automatizados, onde criminosos criaram contas com acesso de VPN para roubar configurações. A empresa já emitiu orientações sobre como proceder caso os dispositivos estejam comprometidos, incluindo a restauração das configurações e a verificação de credenciais.

Recentemente, dispositivos Fortinet FortiGate têm sido alvo de ataques automatizados que exploram uma vulnerabilidade na funcionalidade de single sign-on (SSO), permitindo a criação de contas de administrador e o roubo de dados de configuração do firewall. Pesquisadores da Arctic Wolf identificaram que os hackers estão utilizando um script automatizado para abusar dessa falha, semelhante a uma campanha observada em dezembro de 2025, que explorou as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. A Fortinet confirmou que o patch da versão FortiOS 7.4.10 não resolve completamente a vulnerabilidade, e novas versões (7.4.11, 7.6.6 e 8.0.0) estão previstas para lançamento em breve. Os dados roubados podem expor a topologia da rede, regras de segurança e configurações de VPN, permitindo que os atacantes identifiquem serviços vulneráveis e mantenham acesso à rede. Para mitigar riscos, recomenda-se desativar temporariamente a funcionalidade de login do FortiCloud até que os patches sejam aplicados.

Recentemente, a Fortinet confirmou que está trabalhando para corrigir uma vulnerabilidade crítica de bypass de autenticação no FortiCloud SSO, identificada como CVE-2025-59718. Apesar de um patch ter sido disponibilizado em dezembro, administradores relataram que seus firewalls totalmente atualizados estavam sendo comprometidos. A empresa Arctic Wolf informou que os ataques começaram em 15 de janeiro, com invasores criando contas com acesso VPN e roubando configurações de firewall em questão de segundos, sugerindo que os ataques são automatizados. Logs compartilhados por clientes da Fortinet indicam que os invasores criaram usuários administrativos após um login SSO. O CISO da Fortinet, Carl Windsor, alertou que o problema afeta todas as implementações SAML SSO, não apenas o FortiCloud. Enquanto a correção não é disponibilizada, a Fortinet recomenda que os clientes restrinjam o acesso administrativo e desativem o FortiCloud SSO. A CISA já incluiu a CVE-2025-59718 em sua lista de vulnerabilidades ativamente exploradas, exigindo que agências federais apliquem patches rapidamente. Atualmente, quase 11.000 dispositivos Fortinet estão expostos online com o FortiCloud SSO habilitado.

A Fortinet confirmou que está lidando com uma vulnerabilidade de bypass na autenticação SSO do FortiCloud, após relatos de exploração em firewalls que estavam totalmente atualizados. O CISO da empresa, Carl Windsor, destacou que a exploração foi observada em dispositivos que já haviam recebido patches para as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. Essas falhas permitem que atacantes não autenticados contornem a autenticação SSO por meio de mensagens SAML manipuladas, caso o recurso SSO do FortiCloud esteja habilitado. Recentemente, foram registrados logins maliciosos em dispositivos FortiGate, onde contas genéricas foram criadas para garantir acesso persistente e realizar alterações na configuração, incluindo acesso VPN. A Fortinet recomenda que os administradores restrinjam o acesso administrativo e desativem os logins SSO do FortiCloud como medidas de mitigação. A empresa também alertou que, embora a exploração observada tenha sido específica para o FortiCloud SSO, o problema pode afetar todas as implementações SAML SSO.

Dispositivos Fortinet FortiGate estão sendo alvo de ataques automatizados que criam contas não autorizadas e roubam dados de configuração do firewall, conforme relatado pela empresa de cibersegurança Arctic Wolf. A campanha começou em 15 de janeiro, com os atacantes explorando uma vulnerabilidade desconhecida na funcionalidade de login único (SSO) dos dispositivos, permitindo a criação de contas com acesso VPN e a exportação de configurações de firewall em questão de segundos. Esses ataques são semelhantes a incidentes documentados em dezembro, após a divulgação de uma vulnerabilidade crítica de bypass de autenticação (CVE-2025-59718) nos produtos da Fortinet. Embora a Fortinet tenha lançado patches, relatos indicam que a versão mais recente do FortiOS (7.4.10) não resolve completamente a falha de autenticação. Para mitigar os riscos, a Arctic Wolf recomenda que os administradores desativem temporariamente o recurso de login SSO do FortiCloud até que um patch completo seja disponibilizado. A CISA também incluiu a CVE-2025-59718 em seu catálogo de falhas exploradas em ataques, exigindo que agências federais realizem correções em uma semana.

A empresa de cibersegurança Arctic Wolf alertou sobre um novo cluster de atividades maliciosas automatizadas que envolvem mudanças não autorizadas nas configurações de firewall de dispositivos Fortinet FortiGate. Essa atividade teve início em 15 de janeiro de 2026 e apresenta semelhanças com uma campanha anterior de dezembro de 2025, onde logins SSO maliciosos foram registrados em contas administrativas, explorando as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. Essas falhas permitem a bypass não autenticada da autenticação SSO através de mensagens SAML manipuladas, afetando FortiOS, FortiWeb, FortiProxy e FortiSwitchManager.

Clientes da Fortinet estão enfrentando ataques que exploram uma vulnerabilidade crítica de autenticação em firewalls FortiGate, identificada como CVE-2025-59718. Apesar de um patch ter sido lançado em dezembro, administradores relataram que a versão mais recente do FortiOS (7.4.10) não resolveu completamente o problema. Um administrador afetado observou um login malicioso em sua conta de administrador local, que foi criado a partir de um login SSO (Single Sign-On) malicioso. Os logs mostraram que a conta foi criada a partir de um endereço de e-mail suspeito e um IP que já havia sido associado a ataques anteriores. Fortinet planeja lançar novas versões do FortiOS para corrigir a falha, mas até que isso aconteça, recomenda-se que os administradores desativem temporariamente a funcionalidade de login FortiCloud SSO. Embora essa funcionalidade não esteja habilitada por padrão, mais de 25.000 dispositivos Fortinet ainda estão expostos online. A CISA incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas, exigindo que agências federais a corrigissem em uma semana.

O cenário de cibersegurança está em constante evolução, com a linha entre atualizações normais e incidentes graves se tornando cada vez mais tênue. Recentemente, uma vulnerabilidade crítica no Fortinet FortiSIEM, identificada como CVE-2025-64155, foi explorada ativamente, permitindo que atacantes não autenticados executassem códigos maliciosos. Essa falha, com um escore CVSS de 9.4, compromete o serviço phMonitor, que opera com privilégios elevados, possibilitando controle total do sistema. Além disso, um novo malware chamado VoidLink, voltado para ambientes Linux, foi desenvolvido para garantir acesso de longo prazo e coleta de dados, utilizando técnicas de evasão sofisticadas para evitar detecção.

Uma vulnerabilidade crítica no Fortinet FortiSIEM, identificada como CVE-2025-64155, está sendo ativamente explorada por atacantes. Essa falha resulta de uma combinação de problemas que permitem a execução de comandos arbitrários com permissões de administrador e a escalada de privilégios para acesso root. A vulnerabilidade, classificada como uma injeção de comando do sistema operacional, permite que um invasor não autenticado execute códigos não autorizados por meio de requisições TCP manipuladas. A Fortinet lançou atualizações de segurança para corrigir a falha, que afeta as versões do FortiSIEM de 6.7 a 7.5, recomendando a atualização para versões mais recentes. A Horizon3.ai, que reportou a vulnerabilidade, também disponibilizou um código de prova de conceito que demonstra como explorar a falha. Após a divulgação, a empresa de inteligência de ameaças Defused confirmou que a exploração da vulnerabilidade está ocorrendo ativamente. A Fortinet ainda não atualizou seu aviso de segurança para refletir essa exploração, mas recomenda que os administradores limitem o acesso ao serviço vulnerável como uma medida temporária. A situação é crítica, pois a exploração pode levar a compromissos severos em sistemas afetados.

A Fortinet anunciou atualizações para corrigir uma vulnerabilidade crítica no FortiSIEM, identificada como CVE-2025-64155, que pode permitir a execução de código por atacantes não autenticados. Avaliada em 9.4 na escala CVSS, a falha se relaciona a uma injeção de comandos do sistema operacional, possibilitando que um invasor execute comandos não autorizados através de requisições TCP manipuladas. A vulnerabilidade afeta apenas os nós Super e Worker do FortiSIEM e foi descoberta pelo pesquisador de segurança Zach Hanley. O problema reside no serviço phMonitor, que gerencia a comunicação entre nós e a monitoração de saúde, permitindo a injeção de argumentos via curl. Isso pode ser explorado para escrever um shell reverso em um arquivo executável com permissões de root, comprometendo completamente o dispositivo. A Fortinet recomenda que os usuários atualizem para versões corrigidas e limitem o acesso à porta 7900 como uma medida de mitigação. Além disso, outra vulnerabilidade crítica foi identificada no FortiFone, com uma pontuação CVSS de 9.3, que também requer atenção imediata.

A Fortinet, empresa multinacional de cibersegurança, enfrenta ataques digitais há cinco anos, com foco em uma vulnerabilidade no sistema FortiOS, que compromete a autenticação de dois fatores (2FA) e os firewalls da companhia. A falha foi inicialmente identificada na VPN FortiGate e permite que hackers acessem contas legítimas sem ativar o segundo fator de autenticação, utilizando uma simples alteração no nome de usuário, como mudar a primeira letra de minúscula para maiúscula. Essa vulnerabilidade se agrava devido a uma má configuração do sistema, onde a autenticação local não diferencia letras maiúsculas e minúsculas, resultando em acessos não autorizados. Apesar das atualizações lançadas pela Fortinet e recomendações para desativar a diferenciação de letras, os ataques continuam a ser uma preocupação constante. Em abril de 2021, autoridades alertaram sobre o uso do FortiOS para atacar governos, destacando a gravidade da situação. A exploração contínua dessa falha representa um risco significativo para empresas que utilizam as soluções da Fortinet, especialmente em um cenário onde vulnerabilidades de dia zero são comuns.

A Fortinet alertou sobre a exploração ativa de uma vulnerabilidade de cinco anos, identificada como CVE-2020-12812, que afeta o FortiOS SSL VPN. Essa falha de autenticação inadequada permite que usuários loguem sem serem solicitados a fornecer um segundo fator de autenticação, caso a combinação de letras do nome de usuário seja alterada. O problema ocorre quando a autenticação de dois fatores (2FA) está habilitada em configurações específicas, como quando o método de autenticação é remoto (por exemplo, LDAP). A vulnerabilidade foi identificada como uma falha de correspondência sensível a maiúsculas e minúsculas entre autenticações locais e remotas. A Fortinet recomenda que as organizações atualizem para as versões mais recentes do FortiOS e desativem a sensibilidade a maiúsculas nos nomes de usuário para mitigar o risco. A falha já foi explorada por diversos agentes de ameaça, e o governo dos EUA a incluiu em sua lista de vulnerabilidades críticas em 2021. As empresas que utilizam o FortiOS devem agir rapidamente para evitar que usuários administrativos ou de VPN sejam autenticados sem 2FA.

Recentemente, foram identificadas duas falhas de segurança críticas em dispositivos Fortinet FortiGate, que estão sendo ativamente exploradas por agentes maliciosos. As vulnerabilidades, identificadas como CVE-2025-59718 e CVE-2025-59719, possuem uma pontuação CVSS de 9.8, indicando seu alto nível de gravidade. A empresa de cibersegurança Arctic Wolf relatou que, desde 12 de dezembro de 2025, logins maliciosos utilizando autenticação de login único (SSO) têm sido realizados em dispositivos FortiGate, aproveitando-se dessas falhas. As vulnerabilidades permitem que atacantes contornem a autenticação SSO através de mensagens SAML manipuladas, especialmente se o recurso FortiCloud SSO estiver ativado. Embora essa funcionalidade esteja desativada por padrão, ela é ativada automaticamente durante o registro no FortiCare, a menos que os administradores a desativem manualmente. Os atacantes têm utilizado endereços IP de provedores de hospedagem específicos para realizar logins na conta ‘admin’ e exportar configurações de dispositivos. Diante da exploração ativa, é crucial que as organizações apliquem os patches disponibilizados pela Fortinet e desativem o FortiCloud SSO até que as atualizações sejam implementadas.

Recentemente, Fortinet, Ivanti e SAP lançaram atualizações para corrigir vulnerabilidades críticas em seus produtos que poderiam permitir a execução de código e a bypass de autenticação. As falhas da Fortinet, identificadas como CVE-2025-59718 e CVE-2025-59719, afetam o FortiOS, FortiWeb, FortiProxy e FortiSwitchManager, com uma pontuação CVSS de 9.8. A vulnerabilidade permite que atacantes não autenticados contornem a autenticação do FortiCloud SSO por meio de mensagens SAML manipuladas. Para mitigar o risco, recomenda-se desativar essa funcionalidade até que a atualização seja aplicada.

Nesta semana, o cenário de cibersegurança foi marcado por diversas vulnerabilidades e ataques significativos. A Fortinet alertou sobre uma nova falha no FortiWeb, identificada como CVE-2025-58034, que permite a execução de código não autorizado por atacantes autenticados, com um CVSS de 6.7. Essa vulnerabilidade foi explorada ativamente, e a empresa já havia corrigido outra falha crítica, CVE-2025-64446, com CVSS de 9.1, apenas dias antes.

Além disso, o Google lançou atualizações de segurança para o navegador Chrome, corrigindo duas falhas, incluindo uma de tipo confusão (CVE-2025-13223) com CVSS de 8.8, que estava sendo explorada ativamente. A empresa não divulgou detalhes sobre os atacantes ou o alcance dos ataques.

A Fortinet emitiu um alerta sobre uma nova vulnerabilidade no FortiWeb, identificada como CVE-2025-58034, que já está sendo explorada ativamente. Classificada como de severidade média, a falha possui um CVSS de 6.7, permitindo que um atacante autenticado execute comandos não autorizados no sistema subjacente por meio de requisições HTTP manipuladas ou comandos CLI. Para que um ataque seja bem-sucedido, o invasor deve primeiro se autenticar de alguma forma, o que torna a vulnerabilidade um vetor de ataque em cadeia. A Fortinet já lançou patches para diversas versões do FortiWeb, recomendando atualizações para versões mais recentes. A empresa também foi criticada por não ter emitido um aviso formal sobre a correção de outra vulnerabilidade crítica, CVE-2025-64446, que foi corrigida silenciosamente. Especialistas em segurança alertam que a falta de comunicação sobre novas falhas de segurança pode colocar os defensores em desvantagem, facilitando o trabalho dos atacantes. A situação destaca a importância de uma comunicação clara e proativa por parte dos fornecedores de tecnologia em relação a questões de segurança.

A Fortinet emitiu um alerta urgente para seus clientes após a descoberta de uma vulnerabilidade crítica em seu firewall de aplicação web, o FortiWeb. Identificada como CVE-2025-64446, essa falha permite que atacantes não autenticados executem comandos administrativos no sistema, apresentando um risco significativo. A vulnerabilidade afeta as versões 7.0.0 a 8.0.1 do FortiWeb e foi corrigida na versão 8.0.2. A gravidade da falha foi classificada com um escore de 9.8 em 10, indicando a necessidade de ação imediata. A Fortinet recomenda que os usuários apliquem o patch ou desativem as interfaces HTTP/HTTPS expostas à internet. A vulnerabilidade já está sendo explorada ativamente, conforme relatórios de pesquisadores de segurança. A CISA (Cybersecurity and Infrastructure Security Agency) incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que agências federais tomem medidas até 21 de novembro. A situação destaca a importância de manter sistemas atualizados e monitorar logs para detectar possíveis modificações não autorizadas.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais alarmante, com ataques que utilizam ferramentas comuns, como IA e VPNs, para causar danos sem serem detectados. Um exemplo crítico é a exploração da vulnerabilidade CVE-2025-64446 no Fortinet FortiWeb, que permite a criação de contas administrativas maliciosas. Essa falha, com um CVSS de 9.1, foi adicionada ao catálogo de Vulnerabilidades Conhecidas da CISA, exigindo que agências federais apliquem correções até 21 de novembro de 2025.

Uma grave vulnerabilidade zero-day no Fortinet FortiWeb está sendo ativamente explorada por cibercriminosos, permitindo acesso total a contas de administrador do firewall de aplicações web sem necessidade de autenticação. Essa falha de segurança afeta organizações globalmente que utilizam o FortiWeb para proteger suas aplicações web contra tráfego malicioso. A vulnerabilidade foi divulgada em 6 de outubro de 2025, após ser descoberta por pesquisadores da empresa Defused, que a identificaram em sua infraestrutura de honeypots. Testes realizados pela Rapid7 confirmaram a eficácia do exploit contra a versão 8.0.1 do FortiWeb, lançada em agosto de 2025, permitindo a criação de contas de administrador maliciosas. Embora a versão mais recente, 8.0.2, tenha mostrado respostas de ‘403 Forbidden’ durante tentativas de exploração, organizações que ainda operam versões anteriores enfrentam riscos significativos. A Fortinet ainda não forneceu orientações oficiais ou um identificador CVE para essa vulnerabilidade, o que levanta preocupações sobre sua abrangência. As organizações são aconselhadas a atualizar imediatamente para a versão 8.0.2 ou a remover interfaces de gerenciamento da exposição pública na internet.

Pesquisadores de cibersegurança alertam sobre uma vulnerabilidade de bypass de autenticação no Fortinet FortiWeb WAF, que pode permitir que atacantes assumam contas de administrador e comprometam completamente o dispositivo. A equipe watchTowr identificou a exploração ativa dessa vulnerabilidade, que foi silenciosamente corrigida na versão 8.0.2 do produto. A falha permite que atacantes realizem ações como usuários privilegiados, com foco na adição de novas contas de administrador como um mecanismo de persistência. A empresa conseguiu reproduzir a vulnerabilidade e criou uma prova de conceito, além de disponibilizar uma ferramenta para identificar dispositivos vulneráveis. O vetor de ataque envolve o envio de um payload específico via requisição HTTP POST para criar contas de administrador. Até o momento, a identidade do ator por trás dos ataques é desconhecida, e a Fortinet ainda não publicou um aviso oficial ou atribuiu um identificador CVE. A Rapid7 recomenda que organizações que utilizam versões anteriores à 8.0.2 do FortiWeb tratem a vulnerabilidade com urgência, já que a exploração indiscriminada sugere que dispositivos não corrigidos podem já estar comprometidos.

O relatório da FortiGuard sobre a primeira metade de 2025 revela que ataques cibernéticos motivados financeiramente dominaram os padrões de incidentes, destacando o uso abusivo de credenciais legítimas e ferramentas de gerenciamento remoto. Os atacantes estão optando por métodos de intrusão discretos e de baixa complexidade, utilizando logins válidos e canais de acesso remoto para se misturar às operações normais das empresas. O relatório também aponta que, embora ataques cibernéticos habilitados por IA chamem atenção, há pouca evidência de seu uso operacional eficaz. As violações baseadas em credenciais e o uso indevido de acesso remoto continuam sendo os principais vetores de acesso inicial. As técnicas de acesso inicial mais comuns incluem credenciais comprometidas e exploração de serviços VPN expostos. Após a intrusão, os atacantes utilizam ferramentas legítimas como AnyDesk e Splashtop para manter a persistência e exfiltrar dados. A Fortinet recomenda que as defesas se concentrem em detecções baseadas em identidade e comportamento, além de implementar controles de segurança como autenticação multifator (MFA) e políticas de acesso condicional. O alerta é claro: os atacantes não precisam mais hackear para entrar, eles simplesmente fazem login.

Uma análise recente da empresa de inteligência em ameaças KELA revelou paralelos operacionais significativos entre dois grupos cibernéticos ligados ao Iémen: o recém-surgido Belsen Group e o mais estabelecido ZeroSevenGroup. Embora não haja provas definitivas de liderança compartilhada, as táticas, técnicas e procedimentos (TTPs) sobrepostos sugerem uma possível afiliação ou atividade coordenada. Em janeiro de 2025, o Belsen Group publicou 1,6 GB de dados sensíveis de dispositivos Fortinet FortiGate, incluindo endereços IP e credenciais de VPN de mais de 15.000 aparelhos vulneráveis, explorando uma vulnerabilidade crítica (CVE-2022-40684) que foi corrigida em outubro de 2022. O grupo começou a vender acesso a redes corporativas, visando vítimas na África, EUA e Ásia. Por sua vez, o ZeroSevenGroup, que surgiu em julho de 2024, também se destacou por suas operações de exfiltração de dados, incluindo um ataque à Toyota. Ambos os grupos utilizam formatos de postagem semelhantes e hashtags comuns, indicando uma possível colaboração. A análise sugere que a infraestrutura operacional entre os dois grupos pode ser mais interligada do que se pensava anteriormente.

Uma pesquisa da Fortinet revelou que o Brasil acumulou 315 bilhões de tentativas de ciberataques no primeiro semestre de 2025, representando mais de 80% do total de ataques na América Latina. Durante o Fortinet Cybersecurity Summit 2025, o vice-presidente de engenharia da empresa, Alexandre Bonatti, destacou que a maioria dos ataques no Brasil é direcionada, visando alvos específicos e com o objetivo de monetização. Os criminosos agora tratam os ataques como uma estratégia de negócios, buscando maximizar lucros. O Brasil se torna um alvo atraente devido à combinação de grandes instituições e baixa maturidade em segurança cibernética, especialmente em um cenário de transformação digital. Bonatti também mencionou que setores que utilizam Internet das Coisas (IoT), como indústria e saúde, estão entre os mais vulneráveis, principalmente quando operam com dispositivos desprotegidos ou desatualizados. A pesquisa indica que a educação em cibersegurança no Brasil ainda é precária, o que facilita a exploração por criminosos. Com o aumento da lucratividade dos ataques, a situação exige atenção urgente das empresas e profissionais de segurança da informação.