Atualizações tratam bypass de SSO por SAML em produtos Fortinet, sequestro de sessão administrativa no Ivanti EPM e falhas críticas de injeção, Tomcat e desserialização em ambientes SAP.
| Componente | FortiOS, FortiWeb, FortiProxy, FortiSwitchManager, Ivanti Endpoint Manager 2024 antes de SU4 SR1, SAP Solution Manager, SAP Commerce Cloud e SAP jConnect SDK para Sybase ASE |
| Vetor | Mensagem SAML manipulada contra FortiCloud SSO habilitado, relatório falso de endpoint contra o serviço web primário do Ivanti EPM e entradas especialmente criadas em componentes SAP, com autenticação ou privilégio elevado quando indicado |
| Impacto | Bypass de autenticação administrativa, execução de JavaScript no contexto de sessão de administrador, execução arbitrária de código e injeção de código conforme o componente afetado |
| Prioridade | Aplicar as correções dos fornecedores, atualizar o Ivanti EPM para 2024 SU4 SR1, desabilitar temporariamente login administrativo via FortiCloud SSO quando estiver ativo e priorizar SAP Solution Manager pela função central no ambiente |
| Versões | Ivanti corrigiu CVE-2025-10573, CVE-2025-13659, CVE-2025-13661 e CVE-2025-13662 no Endpoint Manager 2024 SU4 SR1 |
| Artefatos | CVE-2025-59718, CVE-2025-59719, CVE-2025-10573, CVE-2025-13659, CVE-2025-13661, CVE-2025-13662, CVE-2025-42880, CVE-2025-55754 e CVE-2025-42928 |
Fortinet, Ivanti e SAP publicaram correções para falhas críticas que atingem componentes de autenticação, consoles administrativas, gerenciamento de endpoints e plataformas corporativas de aplicação. O conjunto mais sensível envolve dois erros de verificação de assinatura criptográfica em produtos Fortinet, uma falha crítica de XSS armazenado no Ivanti Endpoint Manager e três vulnerabilidades críticas no ciclo de atualizações de dezembro da SAP. Os impactos variam conforme o produto, mas incluem bypass de autenticação, controle de sessão administrativa, injeção de código e execução remota de código.
Nos produtos Fortinet, CVE-2025-59718 e CVE-2025-59719 têm pontuação CVSS 9.8 e afetam FortiOS, FortiWeb, FortiProxy e FortiSwitchManager. A condição explorável depende do recurso de login por FortiCloud SSO estar habilitado. Quando essa configuração está ativa, um atacante não autenticado pode tentar contornar a autenticação do login SSO por meio de uma mensagem SAML manipulada, explorando a validação incorreta de assinatura criptográfica.
No Ivanti Endpoint Manager, CVE-2025-10573 recebeu CVSS 9.6 e afeta o núcleo e consoles remotos do EPM antes da versão 2024 SU4 SR1. A falha permite que um atacante remoto e não autenticado injete JavaScript armazenado que será executado quando um administrador visualizar interfaces contaminadas no painel. A execução depende da interação passiva do administrador, mas essa interação faz parte do uso normal da plataforma, o que torna o cenário operacionalmente relevante para ambientes de TI.
A SAP também corrigiu 14 vulnerabilidades em múltiplos produtos, incluindo CVE-2025-42880, CVE-2025-55754 e CVE-2025-42928, todas classificadas como críticas no material analisado. A primeira envolve injeção de código no SAP Solution Manager, a segunda agrupa múltiplas vulnerabilidades no Apache Tomcat dentro do SAP Commerce Cloud, e a terceira é uma falha de desserialização no SAP jConnect SDK para Sybase Adaptive Server Enterprise.
Nas falhas da Fortinet, o ponto técnico central é a validação inadequada de assinatura criptográfica, classificada como CWE-347. O recurso afetado é o login administrativo por FortiCloud SSO. A exploração descrita exige que o dispositivo esteja com esse modo de autenticação ativo; essa não é a configuração padrão de fábrica. A superfície surge quando o equipamento é registrado no FortiCare e a opção que permite login administrativo usando FortiCloud SSO permanece habilitada. Nessa condição, uma mensagem SAML especialmente construída pode ser aceita de forma indevida e permitir bypass da autenticação.
O caso do Ivanti EPM é diferente porque combina inserção remota não autenticada com execução posterior no navegador do administrador. O atacante com acesso ao serviço web primário do EPM pode registrar endpoints falsos como se fossem dispositivos gerenciados e inserir dados capazes de envenenar o painel administrativo. Quando um operador legítimo acessa uma das telas afetadas durante a rotina de administração, o JavaScript armazenado é executado no contexto da sessão administrativa, criando risco de controle da sessão do administrador dentro da aplicação.
A vulnerabilidade CVE-2025-10573 não é descrita como exploração ativa no material analisado, e o fornecedor indicou não ter conhecimento de ataques em ambiente real. Ainda assim, a exigência de interação do usuário não reduz materialmente o risco em redes onde administradores consultam painéis do EPM com frequência. O comportamento explorável depende de uma ação normal, não de uma etapa incomum, o que aumenta a probabilidade de disparo depois que o painel é contaminado.
Além da falha crítica de XSS armazenado, o mesmo pacote de correção do Ivanti EPM 2024 SU4 SR1 inclui CVE-2025-13659, CVE-2025-13661 e CVE-2025-13662, todas descritas como vulnerabilidades de alta severidade capazes de permitir execução arbitrária de código por um atacante remoto e não autenticado. CVE-2025-13662 também envolve verificação imprópria de assinatura criptográfica, mas no componente de gerenciamento de patches, ampliando a atenção necessária sobre fluxos que processam artefatos ou metadados de atualização.
No bloco SAP, CVE-2025-42880 afeta o SAP Solution Manager por meio de um módulo de função habilitado remotamente que permite a um atacante autenticado injetar código arbitrário. A criticidade é agravada pelo papel central do Solution Manager na paisagem SAP, já que esse sistema normalmente se conecta a múltiplos ambientes e processos de operação. CVE-2025-42928, por sua vez, permite execução remota de código no SAP jConnect SDK por entrada especialmente criada, mas o material analisado indica que a exploração bem-sucedida exige privilégios elevados.
A superfície Fortinet deve ser avaliada por produto e por configuração. Ambientes com FortiOS, FortiWeb, FortiProxy ou FortiSwitchManager não ficam automaticamente expostos apenas pela presença do produto; a condição relevante é o login administrativo via FortiCloud SSO estar habilitado. Como o recurso não vem ativo por padrão de fábrica, inventários de configuração são tão importantes quanto inventários de versão para determinar prioridade real de resposta.
No Ivanti EPM, a exposição envolve o serviço web primário do servidor EPM, o fluxo de ingresso de endpoints gerenciados e a renderização de informações no painel administrativo. A falha é particularmente sensível em ambientes onde o console é usado por equipes de TI para operações recorrentes, porque o painel passa a ser o ponto de execução do código injetado. O risco não depende de credenciais do atacante no momento de inserir o conteúdo malicioso, conforme o contexto descreve o vetor como remoto e não autenticado.
Na SAP, a superfície é distribuída por produtos com papéis distintos. SAP Solution Manager exige atenção por centralizar processos de operação e administração em paisagens SAP. SAP Commerce Cloud é impactado por múltiplas vulnerabilidades no Apache Tomcat embarcado no produto. O SAP jConnect SDK para Sybase ASE tem uma falha de desserialização, mas a exploração indicada exige privilégios elevados, o que torna o controle de permissões parte essencial da redução de risco.
- Fortinet: FortiOS, FortiWeb, FortiProxy e FortiSwitchManager com login administrativo por FortiCloud SSO habilitado.
- Ivanti: Endpoint Manager anterior a 2024 SU4 SR1, incluindo núcleo, consoles remotos, serviço web primário e painéis administrativos.
- SAP: Solution Manager, Commerce Cloud com Apache Tomcat e jConnect SDK para Sybase ASE.
- Condição relevante no Ivanti: execução do JavaScript ocorre quando um administrador visualiza uma interface contaminada no painel.
Para Fortinet, a investigação deve começar pela configuração de autenticação administrativa. Equipes devem identificar equipamentos registrados no FortiCare com login por FortiCloud SSO ativo e correlacionar eventos de autenticação administrativa com mensagens SAML, falhas de validação, alterações de configuração e acessos incomuns ao painel de administração. Como o vetor é um bypass de autenticação condicionado ao SSO, logs de login administrativo e mudanças recentes na configuração de SSO são mais relevantes do que indicadores de rede genéricos.
No Ivanti EPM, a telemetria principal está no servidor EPM, no processo de registro de endpoints e no painel administrativo. Sinais defensivos incluem entrada inesperada de endpoints, relatórios de dispositivos com campos anômalos, conteúdo que contenha marcações ou padrões compatíveis com script em dados de inventário, e sessões administrativas que passam a executar ações fora do padrão logo após a visualização de painéis. Como o impacto descrito é controle da sessão administrativa via JavaScript, logs de aplicação e trilhas de auditoria da interface são fundamentais.
Para SAP, a análise deve focar chamadas a módulos de função remotamente habilitados no Solution Manager, uso de componentes do SAP Commerce Cloud que dependem do Apache Tomcat e fluxos que invocam o jConnect SDK com entradas controladas por usuários ou sistemas integrados. Em CVE-2025-42880, o atacante precisa estar autenticado; portanto, eventos de contas internas, contas técnicas e permissões excessivas devem ser revisados junto com erros, execuções inesperadas e alterações em objetos associados ao Solution Manager.
- Fortinet: autenticações administrativas via FortiCloud SSO, mensagens SAML anômalas e mudanças na opção de login por SSO.
- Ivanti EPM: registro de endpoints falsos ou inesperados no serviço web primário.
- Ivanti EPM: dados de inventário ou relatórios de dispositivo contendo conteúdo compatível com injeção de JavaScript.
- Ivanti EPM: ações administrativas incomuns após visualização de painéis contamináveis.
- SAP: chamadas remotas incomuns no Solution Manager e uso de contas autenticadas com permissões amplas.
- SAP jConnect SDK: erros ou execuções associados a entradas especialmente formatadas em fluxos que usam Sybase ASE.
A resposta deve separar correção permanente de redução temporária de exposição. Em Fortinet, a medida provisória indicada é desabilitar o login administrativo usando FortiCloud SSO quando ele estiver habilitado, até que a atualização aplicável seja implantada. Essa decisão precisa ser validada com as equipes responsáveis por acesso administrativo, porque altera o método de autenticação usado para gestão. Depois da correção, a configuração deve ser revisada para confirmar se apenas mecanismos necessários permanecem ativos.
No Ivanti Endpoint Manager, a prioridade é atualizar para EPM 2024 SU4 SR1, versão em que CVE-2025-10573, CVE-2025-13659, CVE-2025-13661 e CVE-2025-13662 foram corrigidas. Antes e depois da atualização, equipes devem examinar endpoints recém-registrados, conteúdo exibido em painéis e sessões administrativas recentes. A atualização reduz a exposição, mas não substitui a verificação de possível envenenamento prévio de dados que já estejam armazenados no servidor.
Em SAP, a aplicação dos patches de dezembro deve priorizar sistemas com Solution Manager exposto a usuários autenticados, ambientes Commerce Cloud que dependem do Apache Tomcat afetado e integrações que usam o SAP jConnect SDK para Sybase ASE. Como pelo menos uma falha requer autenticação e outra exige privilégios elevados, a mitigação também deve incluir revisão de contas técnicas, remoção de permissões desnecessárias e validação de logs de execução em componentes sensíveis.
Após a atualização dos três ecossistemas, a validação deve confirmar versão corrigida, estado das configurações mitigadoras, ausência de registros suspeitos e funcionamento normal dos fluxos administrativos. Para consoles e produtos usados por operadores de TI, a resposta não deve se limitar ao servidor: navegadores administrativos, sessões ativas, tokens de sessão e trilhas de auditoria precisam ser considerados quando houver indicação de execução de código no contexto do administrador.
- Desabilitar temporariamente o login administrativo via FortiCloud SSO nos dispositivos Fortinet em que o recurso estiver ativo.
- Aplicar as atualizações Fortinet correspondentes aos produtos afetados e revisar a configuração de SSO após a correção.
- Atualizar Ivanti Endpoint Manager para 2024 SU4 SR1.
- Investigar registros de endpoints falsos, dados de inventário suspeitos e atividade administrativa anômala no EPM.
- Aplicar as atualizações SAP de dezembro nos produtos afetados, com prioridade para Solution Manager.
- Revisar permissões elevadas, contas autenticadas e integrações que usam SAP jConnect SDK para Sybase ASE.
0 Comentários