Hack Alerta

Falhas de SSO em FortiGate (CVE‑2025‑59718/59719) estão em exploração ativa

Por Redação Hack Alerta Publicado em 21/12/2025 12:03 Riscos e Ameaças Tempo de leitura: 2 min

Duas vulnerabilidades críticas no FortiCloud SSO (CVE‑2025‑59718 e CVE‑2025‑59719) estão sendo exploradas ativamente, permitindo bypass SAML e acesso administrativo a FortiGate, FortiWeb, FortiProxy e FortiSwitchManager. Fortinet liberou patches e recomenda a desativação temporária do SSO quando necessário.

Falhas de SSO em FortiGate (CVE‑2025‑59718/59719) estão em exploração ativa

Dois bugs críticos que permitem bypass de autenticação via FortiCloud SSO estão sendo explorados em aparelhos FortiGate e produtos relacionados. A Fortinet publicou correções e recomendações de mitigação, mas há relatos de exploração ativa que exigem resposta imediata dos administradores.

Resumo técnico

As vulnerabilidades, identificadas como CVE‑2025‑59718 e CVE‑2025‑59719, permitem que mensagens SAML forjadas sejam aceitas como válidas pelo mecanismo FortiCloud SSO, possibilitando que atores não autenticados obtenham acesso administrativo a appliances FortiGate, FortiWeb, FortiProxy e FortiSwitchManager quando a integração FortiCloud SSO está ativa.

Exposição e risco

Quando exploradas com sucesso, as falhas podem conceder controle administrativo sobre appliances que gerenciam políticas de segurança, VPNs e tráfego de borda. Isso torna a operação especialmente crítica: um invasor com acesso administrativo pode extrair configurações, credenciais armazenadas e reorganizar roteamentos, criando caminhos para movimento lateral e exfiltração.

Ações recomendadas pela Fortinet

  • Aplicar os patches liberados pela Fortinet o quanto antes.
  • Quando a atualização imediata não for possível, desabilitar temporariamente o FortiCloud SSO ou restringir o acesso à interface de gestão apenas a redes confiáveis.
  • Resetar credenciais armazenadas e rever logs de autenticação e eventos de administração para detectar possíveis acessos indevidos.
  • Implementar controles de segmentação e listas de controle de origem para interfaces administrativas.

Evidências de exploração

O relatório aponta exploração ativa contra esses CVEs, o que eleva a prioridade de correção para clientes Fortinet. A presença de exploração em ambiente real justifica medidas de contenção imediatas, mesmo para organizações em janela de manutenção.

Observações finais para CISOs

CISOs devem priorizar a verificação de configurações FortiCloud SSO em appliances de borda e registrar um plano de atualização/rollback que minimize janela de exposição. Além da aplicação de patches, é crítico auditar chaves e tokens que possam ter sido comprometidos e preparar procedimentos de recuperação que incluam revisão de regras de firewall e rotas aplicada nas interfaces administrativas.

Fonte: publicação técnica que documenta as vulnerabilidades e recomendações da Fortinet; com exploração ativa confirmada conforme o mesmo relatório.

Baseado em publicação original de Cyber Security News
Tags: #fortinet #fortigate #sso #saml #cve-2025-59718 #cve-2025-59719 #bypass #appliances #admin-access
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar