CEVIU Logo
Voltar

Fortinet corrige vulnerabilidades em Firewalls FortiGate que permitiam roubo de credenciais corporativas

Aprofundamento CEVIU

Aprofundamento

As três vulnerabilidades críticas em FortiGate não são falhas isoladas, mas um ciclo de exploração em cadeia: CVE-2025-59718 e CVE-2025-59719 (divulgadas em 9/12/2025, exploradas desde 12, 13/12/2025) permitiam falsificação de tokens SAML sem autenticação prévia, e o recurso FortiCloud SSO, embora desabilitado por padrão, era ativado automaticamente ao registrar o dispositivo no FortiCare via GUI, deixando ~30 mil instâncias expostas na internet. A partir daí, atacantes baixavam arquivos de configuração com hashes de credenciais LDAP/AD, que eram quebrados para acessar diretórios corporativos. Já a CVE-2026-24858, descoberta em janeiro de 2026 após ataques bem-sucedidos mesmo em sistemas já corrigidos, é uma falha de bypass de autenticação que permitia usar uma única conta FortiCloud maliciosa para logar em dispositivos registrados em outras contas, o que revela um defeito estrutural na lógica de confiança entre contas do ecossistema Fortinet.

A Fortinet reagiu com medidas operacionais raras: suspendeu o FortiCloud SSO globalmente em 26/01/2026, reativou-o só para versões corrigidas em 27/01/2026 e impôs prazos de remediação apertados pela CISA (até 23/12/2025 para as primeiras CVEs; até 30/01/2026 para a CVE-2026-24858). O custo potencial de inação varia de US$ 200 mil a mais de US$ 7 milhões por organização, não só por danos diretos, mas por multas regulatórias e perda de confiança em setores como saúde e governo, onde esses ataques foram concentrados.

Por que isso importa

Essas falhas expõem um risco sistêmico: firewalls não são apenas barreiras de rede, mas pontos de gerenciamento centralizados que, quando comprometidos, entregam credenciais de domínio, políticas de firewall e até chaves de criptografia. A exploração foi usada para criar estações de trabalho fraudulentas no AD, implantar ferramentas de gerenciamento remoto (Pulseway, MeshAgent) e tentar extrair NTDS.dit, ou seja, o ataque não parou no perímetro, mas avançou para o coração da infraestrutura. A ausência de logs adequados nos dispositivos dificultou detecção: um incidente identificado pela SentinelOne começou em novembro de 2025 e só foi descoberto em fevereiro de 2026. Isso torna a recomendação técnica urgente e específica: girar *todas* as credenciais LDAP e AD associadas a FortiGate, auditar mS-DS-MachineAccountQuota e monitorar EDR em servidores adjacentes, não como boas práticas genéricas, mas como resposta a um padrão de movimentação observado em campo.

Linha do tempo

  1. Divulgação oficial das CVE-2025-59718 e CVE-2025-59719 pela Fortinet

  2. Início da exploração ativa observada por SentinelOne

  3. CISA adiciona CVE-2025-59718 ao catálogo KEV, com prazo de remediação até 23/12/2025

  4. Relatos de acesso a FortiGate mesmo após correção, levando à descoberta da CVE-2026-24858

  5. Fortinet desabilita globalmente o FortiCloud SSO

  6. CISA inclui CVE-2026-24858 no KEV; Fortinet reativa SSO apenas para versões corrigidas

  7. Relato detalhado da SentinelOne sobre exploração contínua entre dezembro de 2025 e fevereiro de 2026

Perguntas frequentes

Por que o FortiCloud SSO, se desabilitado por padrão, virou alvo tão difundido?

Porque ele é ativado automaticamente ao registrar o dispositivo no FortiCare via interface gráfica, e muitos administradores não desmarcam a opção 'Allow administrative login using FortiCloud SSO'. Isso deixou cerca de 30 mil dispositivos expostos à internet com o recurso habilitado sem intenção.

Qual é a diferença prática entre a CVE-2025-59718 e a CVE-2026-24858?

A primeira permite acesso administrativo sem autenticação, usando falsificação de token SAML. A segunda exige uma conta FortiCloud válida, mas permite usar essa conta para logar em dispositivos registrados em *outras* contas, um bypass de isolamento entre ambientes, explorado por duas contas maliciosas bloqueadas em 22/01/2026.

Quais versões do FortiOS resolvem todas as três vulnerabilidades?

FortiOS 7.4.11 e 7.6.6 corrigem as três CVEs. Versões anteriores, mesmo com patches parciais, permanecem vulneráveis à CVE-2026-24858, o que explica por que ataques ocorreram mesmo após atualizações iniciais.

Por que auditar mS-DS-MachineAccountQuota é uma recomendação crítica aqui?

Porque os atacantes criaram contas de administrador locais (ex: 'support', 'ssl-admin') para persistência. Esse atributo do Active Directory controla quantas contas de máquina um usuário pode criar, e sua alteração anômala é um indicador claro de movimentação lateral pós-comprometimento.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
19 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser