Fortinet alerta sobre falhas críticas no burlamento de autenticação de login SSO do FortiCloud – Against Invaders

Dentes

A Fortinet lançou atualizações de segurança para tratar duas vulnerabilidades críticas no FortiOS, FortiWeb, FortiProxy e FortiSwitchManager, que poderiam permitir que atacantes burlissem a autenticação SSO do FortiCloud.

Os agentes de ameaça podem explorar as duas falhas de segurança rastreadas como CVE-2025-59718 (FortiOS, FortiProxi, FortiSwitchManager) e CVE-2025-59719 (FortiWeb) ao abusar da verificação inadequada de fraquezas de assinatura criptográfica em produtos vulneráveis por meio de uma mensagem SAML maliciosamente elaborada.

No entanto, como a Fortinet explicou em um aviso publicado hoje, o recurso vulnerável do FortiCloud não é ativado por padrão quando o dispositivo não está registrado no FortiCare.

“Por favor, note que o recurso de login SSO do FortiCloud não está ativado nas configurações de fábrica padrão”, disse a Fortinet. “No entanto, quando um administrador registra o dispositivo no FortiCare a partir da interface gráfica do dispositivo, a menos que o administrador desative o interruptor ‘Permitir login administrativo usando FortiCloud SSO’ na página de registro, o login SSO do FortiCloud é ativado ao registrar o registro.”

Para proteger seus sistemas contra ataques que exploram essas vulnerabilidades, os administradores são aconselhados a desativar temporariamente o recurso de login do FortiCloud (se ativado) até atualizarem para uma versão não vulnerável.

Para desativar o login do FortiCloud, navegue até Configurações de Sistema > e mude “Permitir login administrativo usando SSO do FortiCloud” para Desligado. Alternativamente, você pode executar o seguinte comando a partir da interface de linha de comando:

config system global
set admin-forticloud-sso-login disable
end

Hoje, a empresa também corrigiu uma vulnerabilidade de alteração de senha não verificada (CVE-2025-59808) que permite que atacantes “que obtiveram acesso à conta de usuário de uma vítima resetem as credenciais da conta sem serem solicitados pela senha da conta”, e outro que permite que atores ameaçadores autentiquem usando o hash em vez da senha (CVE-2025-64471).

Vulnerabilidades de segurança da Fortinet são frequentemente exploradas (muitas vezes como zero days) tanto em ataques de ransomware quanto de ciberespionagem.

Por exemplo, Fortinet Divulgados em fevereiro que o Grupo chinês de hacking Volt Typhoon Backdoor, um Ministério da Defesa Holandês rede militar usando malware de trojan de acesso remoto Coathanger personalizado (RAT) após explorar duas falhas de VPN SSL FortiOS (CVE-2023-27997 E CVE-2022-42475).

Mais recentemente, em agosto, o Fortinet fez um patch uma vulnerabilidade na injeção de comandos (CVE-2025-25256) com código de exploit disponível publicamente em sua solução de monitoramento de segurança FortiSIEM, um dia após a empresa de cibersegurança GreyNoise ter reportado um Pico massivo nos ataques de força bruta mirando VPNs SSL da Fortinet.

Em novembro, Fortinet alertado sobre um zero-day da FortiWeb (CVE-2025-58034) que foi ativamente explorada em ataques, uma semana depois Confirmando que silenciosamente consertou outro Massivamente explorado FortiWeb zero-day (CVE-2025-64446).


Dentes

Destrua silos de IAM como Bitpanda, KnowBe4 e PathAI

Um IAM quebrado não é apenas um problema de TI – o impacto se espalha por toda a sua empresa.

Este guia prático aborda por que as práticas tradicionais de IAM não acompanham as demandas modernas, exemplos de como é um “bom” IAM e uma lista simples para construir uma estratégia escalável.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.