# CVE-2025-59718 > [!critical] CVSS 9.8 - Fortinet FortiCloud SSO Authentication Bypass > Falha crítica de verificação de assinatura criptográfica em FortiOS, FortiProxy e FortiSwitchManager permite que atacantes não autenticados contornem a autenticação FortiCloud SSO via mensagens SAML maliciosas. ## Visão Geral CVE-2025-59718 é uma vulnerabilidade crítica (CVSS 9.8) que afeta múltiplos produtos Fortinet — FortiOS, FortiProxy e FortiSwitchManager. A falha reside na verificação inadequada de assinaturas criptográficas nas respostas SAML utilizadas pelo mecanismo de Single Sign-On (SSO) do FortiCloud. Um atacante remoto não autenticado pode forjar mensagens SAML e se autenticar como qualquer usuário, incluindo administradores, sem conhecer credenciais válidas. O impacto é máximo em todas as dimensões do CIA Triad: confidencialidade, integridade e disponibilidade. Ambientes que utilizam FortiCloud SSO para autenticação centralizada — especialmente redes corporativas e provedores de serviços gerenciados (MSPs) — estão diretamente expostos. A exploração ativa foi confirmada pela Arctic Wolf, que observou logins SSO maliciosos em ambiente de produção logo após a divulgação pública. No contexto brasileiro e latino-americano, a Fortinet tem presença massiva em ambientes enterprise, government e telecom. A exploração desta falha representa vetor de comprometimento inicial de alto impacto para campanhas de espionagem e ransomware direcionadas à região, podendo resultar em acesso total a firewalls, proxies e switches de redes críticas. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|---------------------|-----------------| | FortiOS | 7.0.0-7.0.17, 7.2.0-7.2.11, 7.4.0-7.4.8, 7.6.0-7.6.3 | 7.0.18+, 7.2.12+, 7.4.9+, 7.6.4+ | | FortiProxy | 7.0.0-7.0.21, 7.2.0-7.2.14, 7.4.0-7.4.10, 7.6.0-7.6.3 | 7.0.22+, 7.2.15+, 7.4.11+, 7.6.4+ | | FortiSwitchManager | 7.0.0-7.0.5, 7.2.0-7.2.6 | 7.0.6+, 7.2.7+ | ## Análise Técnica A vulnerabilidade é classificada como **CWE-347** (Improper Verification of Cryptographic Signature). O mecanismo de FortiCloud SSO utiliza o protocolo SAML para autenticação federada. Quando um usuário tenta se autenticar, o FortiGate válida uma resposta SAML assinada pelo IdP (Identity Provider) do FortiCloud. A falha reside na válidação insuficiente desta assinatura: um atacante pode craftar uma resposta SAML com assinatura inválida ou manipulada que o sistema aceita como legítima. O fluxo de ataque segue o padrão [[t1078-valid-accounts|T1078]] (Valid Accounts via autenticação comprometida) combinado com [[t1190-exploit-public-facing-application|T1190]] (Exploit Public-Facing Application) para acesso inicial, com potencial para [[t1556-modify-authentication-process|T1556]] (Modify Authentication Process) como técnica de persistência pós-exploração. ## Attack Flow ```mermaid graph TB A["🎯 Reconhecimento<br/>Identificar instâncias Fortinet<br/>com FortiCloud SSO habilitado"] --> B["🔓 Forjar resposta SAML<br/>CVE-2025-59718<br/>Assinatura inválida aceita"] B --> C["✅ Bypass de autenticação<br/>Login como admin<br/>Sem credenciais válidas"] C --> D["💻 Acesso administrativo<br/>FortiOS / FortiProxy<br/>Controle total do firewall"] D --> E["🔄 Movimento lateral<br/>Pivoting para rede interna<br/>via VPN / SD-WAN"] ``` ## Mitigação **Ação imediata (CISA KEV - prazo obrigatório para agências federais EUA):** 1. **Atualizar** para as versões corrigidas listadas na tabela acima 2. **Desabilitar FortiCloud SSO** temporariamente se o patch não puder ser aplicado imediatamente 3. **Revisar logs de autenticação** do FortiCloud SSO para detectar logins anômalos 4. **Implementar MFA** adicional como caminho de mitigação temporária 5. **Isolar** interfaces de gerenciamento da internet pública Consultar o advisory oficial Fortinet PSIRT: [FG-IR-25-647](https://fortiguard.fortinet.com/psirt/FG-IR-25-647) > [!latam] Relevância para Brasil e América Latina > Fortinet é um dos vendors de segurança de rede com maior penetração no mercado LATAM, especialmente em setores financeiro, governo e telecomúnicações. Gestores de segurança de redes brasileiras que utilizam **FortiCloud SSO** como método de autenticação centralizada devem tratar esta vulnerabilidade como P1 e aplicar o patch com urgência. A exploração ativa documentada pela Arctic Wolf eleva o risco para ambientes expostos à internet. Incident responders devem verificar logs de autenticação SSO retroativamente. ## Referências - [Fortinet PSIRT Advisory FG-IR-25-647](https://fortiguard.fortinet.com/psirt/FG-IR-25-647) - [Arctic Wolf - Exploração Ativa Observada](https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-CVE-2025-59718-CVE-2025-59719/) - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-59718) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) **Ver também:** [[_fortinet|Fortinet]] · [[t1078-valid-accounts|T1078]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1556-modify-authentication-process|T1556]] · [[m1017-user-training|M1017]] · [[m1032-multi-factor-authentication|M1032]]