Pesquisadores de segurança identificaram uma onda de ataques automatizados direcionados a dispositivos FortiGate, explorando o mecanismo de Single Sign-On (SSO) do FortiCloud para alterar configurações críticas de firewall sem o conhecimento dos administradores.
O caso acende um alerta importante para empresas que utilizam soluções da Fortinet, especialmente aquelas que mantêm seus firewalls integrados a serviços de gerenciamento em nuvem.
- Leia Também: O malware evelyn stealer abusa de extensões do VS code para roubar credenciais de desenvolvedor e criptografia
- Leia Também: Cloudflare corrige bug de validação ACME que permitia burlar o WAF e acessar servidores de origem
- Leia Também: Google prepara projeto aluminium OS para unificar android e chromeOS
O que está acontecendo?
Os ataques fazem uso de processos automatizados, como bots e scripts, para tentar abusar da relação de confiança entre:
- FortiGate (firewall local)
- FortiCloud (plataforma de gerenciamento em nuvem)
- SSO (Single Sign-On)
Ao explorar falhas de configuração, credenciais expostas ou sessões mal protegidas, os atacantes conseguem assumir controle administrativo parcial ou total do firewall.
Como o SSO do FortiCloud entra no ataque?
O SSO do FortiCloud foi projetado para facilitar a vida do administrador, permitindo:
- Gerenciamento centralizado
- Menos logins manuais
- Integração entre serviços Fortinet
No entanto, quando mal configurado ou exposto à internet sem proteções adicionais, o SSO pode se tornar um ponto único de falha.
Nos ataques observados, os invasores conseguem:
- Abusar de sessões SSO válidas
- Reutilizar tokens de autenticação
- Explorar contas com senhas fracas ou reutilizadas
- Automatizar tentativas em larga escala
Uma vez autenticados, eles passam a alterar regras de firewall, criando exceções perigosas.
Quais configurações de firewall são alteradas?
Após obter acesso, os atacantes costumam:
- Criar regras permitindo acesso remoto irrestrito
- Abrir portas administrativas
- Desativar inspeções de tráfego
- Alterar políticas de NAT
- Criar túneis ou regras persistentes
Essas mudanças podem passar despercebidas por semanas, permitindo:
- Acesso contínuo à rede
- Movimentação lateral
- Exfiltração de dados
- Instalação de malware adicional
Por que ataques automatizados são tão perigosos?
Ataques automatizados se destacam por:
- Alta velocidade
- Escala massiva
- Baixo custo para o atacante
- Exploração contínua 24/7
Mesmo ambientes bem administrados podem ser afetados se:
- Não houver monitoramento constante
- Logs não forem revisados
- Atualizações forem adiadas
Como proteger o FortiGate contra esse tipo de ataque?
Boas práticas recomendadas:
Restringir o acesso administrativo por IP
Desativar o gerenciamento pela internet pública
Revisar integrações com o FortiCloud
Forçar autenticação multifator (MFA)
Rotacionar credenciais regularmente
Monitorar alterações de configuração
Manter o FortiOS sempre atualizado
Além disso, é fundamental revisar periodicamente:
- Regras de firewall
- Contas administrativas
- Tokens e sessões ativas
Infraestrutura segura vai além do firewall
Embora o firewall seja uma peça central da segurança, ele não atua sozinho. Uma infraestrutura robusta ajuda a reduzir impactos mesmo quando um componente é comprometido.
Uma boa hospedagem e ambiente seguro oferecem:
- Firewall em múltiplas camadas
- Monitoramento contínuo
- Proteção contra acessos não autorizados
- Backups automáticos
- Isolamento de serviços
Uma base segura reduz drasticamente os danos causados por ataques automatizados.
FortiGate segue como alvo frequente
Firewalls corporativos continuam sendo alvos prioritários porque:
- Estão na borda da rede
- Controlam todo o tráfego
- Muitas vezes ficam expostos à internet
- Um único acesso abre caminho para toda a infraestrutura
Casos como esse reforçam que má configuração é tão perigosa quanto uma vulnerabilidade técnica.
Os ataques automatizados ao FortiGate explorando o SSO do FortiCloud mostram como integrações mal protegidas podem se transformar em vetores críticos de ataque.
Empresas que utilizam soluções Fortinet devem revisar urgentemente suas configurações, reforçar controles de acesso e investir em monitoramento contínuo.
No cenário atual, segurança não é apenas instalar um firewall, mas mantê-lo corretamente configurado e vigiado.
Clique aqui e teste por 30 dias grátis nossos serviços de hospedagem de sites
