Introdução
Este blog apresenta uma análise técnica do CVE-2025-59718 e do CVE-2025-59719, duas vulnerabilidades críticas de contorno de autenticação que afetam vários produtos Fortinet quando o FortiCloud Single Sign-On (SSO) está ativado.
Ambas as vulnerabilidades resultam de uma verificação inadequada das assinaturas criptográficas (CWE-347) durante o processamento da resposta SAML. Em determinadas condições, uma resposta SAML manipulada pode ser aceite como válida, permitindo que um atacante não autenticado contorne a autenticação SSO do FortiCloud.
Na altura em que esta investigação foi realizada, a informação técnica disponível ao público era limitada e não existiam provas de conceito verificáveis de forma independente que demonstrassem uma exploração real. OPSWAT 515 OPSWAT realizou uma análise aprofundada para determinar se estas vulnerabilidades eram exploráveis na prática e para avaliar o seu impacto no mundo real.
Âmbito da vulnerabilidade e impacto técnico
As vulnerabilidades CVE-2025-59718 e CVE-2025-59719 afetam vários produtos da Fortinet, incluindo o FortiOS, o FortiWeb, o FortiProxy e o FortiSwitchManager, quando o FortiCloud Single Sign-On (SSO) é utilizado para a autenticação administrativa.
A causa principal de ambas as vulnerabilidades é uma verificação inadequada das assinaturas criptográficas (CWE-347) durante o processamento das respostas SAML. Consequentemente, respostas SAML malformadas ou manipuladas podem ser processadas como dados de autenticação legítimos em determinadas condições.
Quando o FortiCloud SSO está ativado, esta vulnerabilidade pode levar a uma contornagem total da autenticação. Uma exploração bem-sucedida permite que um atacante não autenticado obtenha acesso a interfaces administrativas protegidas sem possuir credenciais válidas. Dependendo da configuração da implementação e da exposição do acesso, isto pode acabar por resultar no comprometimento total do dispositivo afetado.
De acordo com o comunicado publicado pelos FortiGuard Labs, estas vulnerabilidades foram identificadas internamente. Os mecanismos detalhados de exploração e os fluxos de trabalho práticos dos ataques não foram divulgados publicamente na altura da publicação.
Avaliação de reclamações relativas à exploração pública
Após a divulgação, vários repositórios públicos e publicações em blogs técnicos afirmaram disponibilizar exploits de prova de conceito para as vulnerabilidades CVE-2025-59718 e CVE-2025-59719. Para avaliar com precisão a explorabilidade destas vulnerabilidades em condições reais, a Unit 515 realizou uma análise sistemática e uma validação prática dos materiais disponíveis publicamente num ambiente controlado.
Os materiais analisados incluíam vários repositórios do GitHub que alegavam demonstrar a possibilidade de contornar a autenticação através de respostas SAML manipuladas em dispositivos Fortinet. No entanto, durante a validação técnica, a Unidade 515 concluiu que essas implementações não eram funcionais.
Mais concretamente, a nossa análise revelou que os PoCs publicados:
- Não é possível contornar com sucesso a autenticação SSO do FortiCloud
- Baseia-se em pressupostos que não refletem o comportamento real do processamento SAML nos produtos afetados
- Não foi possível estabelecer uma sessão autenticada válida ou obter acesso administrativo
Consequentemente, nenhuma das demonstrações de viabilidade (PoC) disponíveis ao público foi capaz de explorar as vulnerabilidades CVE-2025-59718 ou CVE-2025-59719 na prática.
Validação técnica independente pela Unidade 515
Tendo em conta o nível de gravidade «crítico» atribuído às vulnerabilidades CVE-2025-59718 e CVE-2025-59719, e a ausência de qualquer exploração pública comprovada, OPSWAT 515 OPSWAT realizou uma investigação técnica independente para determinar se estas vulnerabilidades eram efetivamente exploráveis em condições reais.
Os testes foram realizados num ambiente laboratorial controlado, utilizando dispositivos Fortinet afetados e configurados com o FortiCloud SSO para autenticação administrativa. A investigação centrou-se na análise da lógica de tratamento das respostas SAML, do comportamento de verificação de assinaturas e dos pressupostos de confiança estabelecidos durante o fluxo de autenticação.
Através desta investigação, a Unidade 515 conseguiu reproduzir de forma fiável o comportamento vulnerável e confirmar que uma verificação criptográfica insuficiente durante o processamento SAML pode, em condições específicas, ser aproveitada para contornar os controlos de autenticação. O comportamento resultante demonstra que as vulnerabilidades não são teóricas e podem ser exploradas de forma repetível quando as condições pré-requisitas são satisfeitas.
Esta validação confirma que as vulnerabilidades CVE-2025-59718 e CVE-2025-59719 constituem verdadeiras falhas de contorno da autenticação com um impacto significativo na segurança, e não meras falhas de implementação em casos pontuais.
Declaração sobre Investigação Responsável
Todos os testes foram realizados exclusivamente nos nossos ambientes isolados e não produtivos, para fins de investigação defensiva. Nenhum sistema de clientes nem ambiente externo foi afetado.
Recomendação
Medidas de mitigação da Fortinet
Em dezembro de 2025, a Fortinet publicou o aviso FortiGuard FG-IR-25-647, abordando duas vulnerabilidades de contorno da autenticação do FortiCloud Single Sign-On (SSO), CVE-2025-59718 e CVE-2025-59719. Como parte da resposta inicial, a Fortinet disponibilizou versões atualizadas do firmware para todas as famílias de produtos afetadas e aconselhou os clientes a atualizarem os dispositivos afetados e a reverem as configurações de acesso administrativo relacionadas com o FortiCloud SSO.
No final de janeiro de 2026, a Fortinet recebeu relatos de um número limitado de clientes que descreviam uma atividade inesperada de início de sessão administrativo, muito semelhante ao problema abordado anteriormente. É importante referir que vários sistemas afetados já estavam a utilizar o firmware mais recente disponível na altura, o que indica que o comportamento observado foi causado por uma via de ataque distinta, e não por uma correção incompleta das vulnerabilidades originais.
Após uma investigação mais aprofundada, a Fortinet identificou uma falha de contorno da autenticação através de um caminho ou canal alternativo (CWE-288) que afetava vários produtos quando a autenticação FortiCloud SSO estava ativada. A esta falha foi atribuído o código CVE-2026-24858 e foi documentada no aviso FortiGuard FG-IR-26-060.
Para mitigar este risco recentemente identificado, a Fortinet lançou atualizações de firmware adicionais e implementou medidas de controlo mais rigorosas ao nível do serviço FortiCloud. A partir de 27 de janeiro de 2026, a autenticação FortiCloud SSO só será permitida para dispositivos que executem versões de firmware compatíveis e atualizadas e que mantenham uma subscrição ativa do FortiCloud. Os dispositivos que não cumpram estes requisitos serão impedidos de se autenticarem através do FortiCloud SSO, bloqueando efetivamente a exploração através das vias de autenticação afetadas.
Estas medidas combinadas abordam tanto as condições de contorno do SSO do FortiCloud inicialmente divulgadas como a via de autenticação alternativa identificada posteriormente, reduzindo significativamente o risco de acesso administrativo não autorizado através do SSO do FortiCloud.
Firewall e solução de diodo OPSWAT
Este tipo de ataque põe em evidência um risco arquitetónico crítico: quando uma firewall é comprometida ou burlada, deixa de ser possível confiar nela como barreira de segurança. Quando isso acontece, os atacantes podem obter acesso persistente a segmentos de rede confiáveis, e todos os sistemas protegidos exclusivamente pela firewall ficam expostos.
As firewalls continuam a ser um componente essencial da segurança de rede, mas são controlos baseados em software que funcionam com base em pressupostos de confiança. Quando esses pressupostos falham — seja devido a abusos na autenticação, falhas lógicas ou canais de gestão comprometidos —, a firewall pode, involuntariamente, facilitar a ação do atacante em vez de a impedir. Nesta fase, o reforço de segurança tradicional e o ajuste das políticas oferecem um valor limitado, uma vez que o próprio perímetro já foi violado.
A importância de uma defesa em várias camadas para além do Firewall
As arquiteturas de segurança resilientes partem do pressuposto de que ocorrerá uma violação. As firewalls, os serviços de identidade e outros controlos baseados em software estão todos sujeitos a vulnerabilidades e falhas de confiança. Quando uma firewall é comprometida, qualquer sistema que dependa dela como único ponto de controlo fica gravemente exposto, independentemente das medidas de reforço de segurança internas.
Para mitigar este risco, as organizações devem adotar uma estratégia de defesa em várias camadas que inclua, pelo menos, um controlo capaz de conter uma violação mesmo após a quebra da barreira de confiança do firewall. Isto exige ir além da aplicação de políticas e avançar para o isolamento físico.
Os díodos de dados como um controlo de segurança determinístico
Um diodo de dados impõe um fluxo de dados fisicamente unidirecional, garantindo que a informação possa circular apenas numa direção, sem qualquer possibilidade de tráfego de retorno. Ao contrário dos firewalls, que dependem de políticas de software, gestão de sessões e pressupostos de confiança, um diodo de dados impõe o isolamento ao nível do hardware. A via de entrada não existe, o que torna o acesso remoto, a injeção de comandos e a comunicação inversa estruturalmente impossíveis.
Esta abordagem altera profundamente o modelo de segurança. Em vez de tentar detetar ou bloquear atividades maliciosas, o diodo de dados elimina completamente a via de ataque. Mesmo que os controlos a montante sejam comprometidos, não existe qualquer mecanismo que permita a um atacante interagir com os sistemas protegidos.
Optical DiodeMetaDefender : Uma solução abrangente de díodo de dados
Quando as proteções do firewall já não são suficientes para garantir a segmentação, as organizações necessitam de um mecanismo de controlo capaz de preservar as fronteiras de segurança, independentemente da aplicação de políticas ou da confiança bidirecional. O OPSWAT MetaDefender Optical Diode foi concebido para responder a esta necessidade, oferecendo os mais elevados padrões de isolamento de rede, integridade de dados e conformidade regulamentar para ambientes onde a falha não é uma opção.
Concebido para proteger contra as ameaças cibernéticas modernas que visam infraestruturas críticas e ambientes de tecnologia operacional (OT), MetaDefender Optical Diode um mecanismo fiável para manter comunicações seguras sem expor as redes protegidas. Em vez de substituir as firewalls, complementa-as ao impor um fluxo de dados unidirecional físico, garantindo que os sistemas críticos permaneçam isolados mesmo que os controlos tradicionais do perímetro sejam comprometidos.
Com a recente aquisição da FEND OPSWAT,Optical Diode MetaDefender suporta agora todas as escalas de implementação e casos de utilização — desde soluções compactas para instalações remotas ou periféricas até plataformas de alta capacidade para ambientes industriais de grande escala. Quer se trate de proteger uma refinaria, uma central elétrica, um centro de transportes, uma unidade de produção ou um sistema de defesa, as organizações podem implementar umOptical Diode MetaDefender Optical Diode para as suas necessidades operacionais.
Ao combinar o isolamento físico unidirecional com a prevenção avançada de ameaças, MetaDefender Optical Diode as redes críticas comuniquem em segurança, sem nunca ficarem expostas a riscos de entrada. Proporciona às organizações a certeza de que, mesmo em ambientes de alto risco, a troca de dados essenciais pode ocorrer sem comprometer a segurança.
MetaDefender Optical Diode mais do que um dispositivo de cibersegurança — é sinónimo de tranquilidade para ambientes em que as fronteiras de confiança têm de se manter, mesmo quando outros controlos não o conseguem fazer.
