Threats
A Fortinet confirmou a deteção de ataques que contornam a autenticação FortiCloud SSO em dispositivos totalmente atualizados. A empresa alerta para um novo vetor que afeta implementações SAML SSO
26/01/2026
|
A Fortinet confirmou que os mais recentes ataques estão a permitir contornar a autenticação de login FortiCloud single sign-on (SSO) em dispositivos que já se encontravam totalmente corrigidos contra vulnerabilidades divulgadas no final de 2025. A informação foi confirmada pela empresa após alertas da Arctic Wolf sobre uma nova campanha ativa. Segundo a Arctic Wolf, os atacantes estão a recorrer a automação para realizar alterações de configuração em firewalls FortiGate, incluindo a criação de novas contas de utilizador, a ativação de acesso VPN e a exfiltração de ficheiros de configuração dos dispositivos comprometidos. A campanha apresenta semelhanças com ataques observados em dezembro de 2025, associados às vulnerabilidades críticas CVE-2025-59718 e CVE-2025-59719, que afetam a funcionalidade de login FortiCloud SSO em produtos como FortiOS, FortiWeb, FortiProxy e FortiSwitch Manager. Na altura, a Fortinet lançou correções e alertou que respostas SAML manipuladas podiam permitir o bypass de autenticação em sistemas com FortiCloud SSO ativo. No entanto, a Fortinet confirmou agora que foram identificados vários casos em que os dispositivos atacados já estavam atualizados para a versão mais recente disponível no momento do ataque, o que indica a existência de um novo caminho de exploração. A empresa sublinha que, embora até ao momento apenas tenha sido observada exploração do FortiCloud SSO, o problema é potencialmente aplicável a todas as implementações de SAML SSO. Numa publicação no blog, a Fortinet afirma estar a trabalhar numa correção adicional, sem avançar uma data para a sua disponibilização. Em paralelo, a empresa partilha também indicadores de compromisso (IOC) para apoiar as organizações na identificação de atividade maliciosa nos seus ambientes. Como medidas de mitigação, a empresa recomenda bloquear o acesso administrativo aos dispositivos de perímetro a partir da Internet, limitando-o a endereços IP locais. Como workaround adicional, é ainda aconselhada a desativação da funcionalidade FortiCloud SSO, em conjunto com políticas locais de acesso, para reduzir o risco de abuso deste vetor de ataque. |
Receba todas as novidades na sua caixa de correio!
NEWS
MITRE lança framework para proteger sistemas embedded
THREATS
Microsoft corrige falha crítica no Office explorada ativamente
NEWS
Falta de governação de IA expõe empresas a riscos crescentes de segurança e conformidade
ANALYSIS
Erro humano na origem da maioria das perdas de dados associadas a ameaças internas
THREATS
Ataques contornam autenticação em sistemas corrigidos recentemente
THREATS
CISA alerta para exploração de vulnerabilidade crítica da SolarWinds
THREATS
Vulnerabilidade crítica em React Native explorada em ataques reais
THREATS
CNCS alerta para falhas críticas na Ivanti
THREATS
Cibercriminosos russos exploram falha recente no Microsoft Office
THREATS
Ataque de phishing com PDF rouba credenciais do Dropbox
