Atividade iniciada em 15 de janeiro de 2026 envolve logins SSO maliciosos, criação de contas persistentes, liberação de VPN e exportação de configurações de firewalls Fortinet.
| Componente | Dispositivos Fortinet com recurso FortiCloud SSO habilitado, incluindo FortiGate e produtos afetados FortiOS, FortiWeb, FortiProxy e FortiSwitchManager. |
| Vetor | Bypass não autenticado de autenticação SSO por mensagens SAML manipuladas, associado às vulnerabilidades CVE-2025-59718 e CVE-2025-59719, quando o login SSO FortiCloud está ativo. |
| Impacto | Logins SSO maliciosos, criação de contas genéricas para persistência, mudanças de configuração que concedem acesso VPN e exportação de arquivos de configuração do firewall pela interface gráfica. |
| Prioridade | Desabilitar temporariamente admin-forticloud-sso-login, revisar eventos SSO e validar contas administrativas, permissões VPN e exportações recentes de configuração. |
| Artefatos | Conta maliciosa observada como cloud-init at mail[.]io; contas secundárias citadas incluem secadmin, itadmin, support, backup, remoteadmin e audit. |
| Temporalidade | A atividade começou em 15 de janeiro de 2026 e ocorreu com eventos executados em poucos segundos, sugerindo automação. |
Uma nova atividade maliciosa automatizada foi observada contra firewalls Fortinet FortiGate, com foco em alterações não autorizadas de configuração após logins SSO associados ao FortiCloud. O fluxo descrito começa com autenticações SSO maliciosas, passa pela criação de contas genéricas e termina em mudanças que habilitam acesso VPN para essas contas, além da exportação de arquivos de configuração pela interface gráfica do dispositivo. O detalhe mais relevante para defesa é que a cadeia não se limita a uma tentativa de login: ela transforma rapidamente o acesso em persistência administrativa e coleta de configuração, reduzindo a janela de resposta operacional.
A atividade iniciada em 15 de janeiro de 2026 apresenta semelhanças com uma campanha de dezembro de 2025 ligada a logins SSO maliciosos contra a conta administrativa em appliances FortiGate. O contexto técnico associa o comportamento ao abuso das vulnerabilidades CVE-2025-59718 e CVE-2025-59719, que permitem bypass não autenticado de autenticação SSO por meio de mensagens SAML manipuladas quando o recurso FortiCloud SSO está habilitado. Os produtos afetados citados são FortiOS, FortiWeb, FortiProxy e FortiSwitchManager, o que amplia a investigação para além de um único modelo de firewall quando a organização usa SSO FortiCloud em diferentes componentes Fortinet.
O fluxo observado envolve logins SSO maliciosos contra uma conta identificada como cloud-init at mail[.]io, originados de quatro endereços IP diferentes. Após a autenticação, arquivos de configuração do firewall são exportados para os mesmos endereços por meio da interface gráfica. Como a lista de IPs não está presente no material analisado, a resposta defensiva deve se concentrar no padrão: autenticação SSO incomum, sequência curta de eventos administrativos, exportação de configuração e posterior modificação de acesso remoto. A presença de quatro origens distintas também sugere uso de infraestrutura distribuída, mas não permite atribuição confiável de ator ou campanha específica.
A criação de contas secundárias como secadmin, itadmin, support, backup, remoteadmin e audit indica intenção de persistência. Esses nomes são genéricos e podem se misturar a convenções administrativas legítimas, especialmente em ambientes com múltiplas equipes de rede, provedores gerenciados ou contas legadas. O ponto crítico é a combinação entre criação da conta e concessão de acesso VPN em intervalo de poucos segundos. Esse encadeamento é mais forte que a presença isolada de um nome de usuário suspeito, porque demonstra alteração de configuração com objetivo funcional: manter acesso remoto mesmo que a sessão inicial seja encerrada.
A exportação de configurações do firewall eleva o risco operacional porque esse arquivo pode conter detalhes de políticas, objetos de rede, túneis, rotas, perfis e nomes de contas. O contexto afirma exfiltração de configurações, mas não fornece conteúdo dos arquivos nem comprova vazamento de credenciais específicas. Portanto, o impacto confirmado deve ser tratado como acesso indevido à configuração e exposição potencial de informações operacionais sensíveis presentes no backup do dispositivo, sem assumir roubo de dados corporativos ou movimentação lateral dentro da rede interna.
A superfície afetada é composta por dispositivos Fortinet com FortiCloud SSO habilitado em versões ou ramos vulneráveis aos bypasses associados a CVE-2025-59718 e CVE-2025-59719. O contexto cita FortiOS, FortiWeb, FortiProxy e FortiSwitchManager como impactados pelas falhas. Também há relatos de administradores observando logins SSO maliciosos em dispositivos FortiOS totalmente atualizados, incluindo menção de persistência ou correção incompleta na versão 7.4.10. Como essa informação aparece como relato operacional e não como boletim final confirmado no contexto, ela deve orientar validação defensiva, não uma conclusão absoluta sobre todos os ambientes nessa versão.
Ambientes mais expostos são aqueles que permitem administração via GUI, mantêm FortiCloud SSO ativo e não monitoram de forma centralizada eventos de autenticação, criação de usuários e exportação de configuração. A condição decisiva é o recurso SSO FortiCloud habilitado: sem esse recurso, o vetor SAML descrito não é apresentado como acionável no contexto. Organizações com firewalls administrados por terceiros devem revisar também contas criadas recentemente por provedores, porque nomes genéricos podem ser confundidos com automação legítima ou contas de suporte.
- Dispositivos FortiGate com FortiCloud SSO habilitado e administração acessível por interface gráfica.
- Instâncias FortiOS, FortiWeb, FortiProxy e FortiSwitchManager citadas como afetadas pelas falhas SSO.
- Ambientes com contas administrativas genéricas, permissões VPN amplas ou baixa revisão de exportações de configuração.
- Dispositivos onde
admin-forticloud-sso-loginpermanece ativo durante a investigação.
A investigação deve correlacionar logs de autenticação SSO, auditoria administrativa, criação de usuários, alteração de grupos, mudança de perfis VPN e exportação de configuração. A sequência temporal é importante: eventos executados em poucos segundos apontam automação e ajudam a separar atividade humana legítima de execução coordenada. A defesa deve procurar a conta cloud-init at mail[.]io e os nomes secundários citados, mas não deve depender somente deles; operadores podem alterar nomes de contas em ondas futuras.
Em firewalls e SIEM, a busca deve priorizar logins SSO vindos de provedores de hospedagem, origens novas para a organização, sessões administrativas com exportação de configuração e alterações de VPN imediatamente após autenticação. Em ambientes com gestão centralizada, compare snapshots de configuração antes e depois de 15 de janeiro de 2026 para identificar criação de contas, inclusão em grupos, alteração de portal VPN e novas permissões administrativas. Se houver backup de configuração exportado no período, trate o arquivo como potencialmente exposto e revise quais segredos, objetos e topologias estavam presentes nele.
- Logins SSO para contas administrativas ou contas desconhecidas, especialmente em sequência rápida e de múltiplas origens.
- Criação recente de usuários com nomes genéricos como
secadmin,itadmin,support,backup,remoteadminouaudit. - Exportação de configuração pela GUI logo após autenticação SSO ou alteração administrativa.
- Mudanças em grupos, portais ou políticas que concedam VPN a contas recém-criadas.
- Eventos relacionados à conta defangada
cloud-init at mail[.]ioou nomes semelhantes criados fora do processo normal de administração.
A ação prioritária é desabilitar admin-forticloud-sso-login enquanto a exposição é investigada, especialmente em ambientes onde FortiCloud SSO não é indispensável para administração. Em seguida, as equipes devem validar todos os usuários administrativos e VPN criados desde 15 de janeiro de 2026, remover contas não reconhecidas, revogar sessões ativas e comparar a configuração atual com um backup confiável anterior ao período de atividade. A resposta deve incluir revisão de permissões, porque uma conta aparentemente comum pode ter recebido acesso remoto suficiente para persistência.
A correção não deve se limitar à remoção de contas suspeitas. Como houve exportação de configuração, é necessário avaliar o conteúdo sensível presente nos arquivos de configuração e rotacionar segredos ou chaves que possam ter sido expostos conforme a realidade do ambiente. Também é recomendável restringir origens permitidas para administração, reforçar monitoramento de SSO, alertar para exportação de configuração e exigir revisão humana para mudanças em VPN e contas administrativas. Quando houver dúvida sobre a efetividade da correção em uma versão específica, mantenha o controle compensatório desabilitando o login SSO FortiCloud até confirmação técnica adequada pelo fornecedor ou por validação interna.
- Desabilitar
admin-forticloud-sso-logindurante a contenção e reativar somente após validação de risco. - Inventariar contas criadas ou modificadas desde 15 de janeiro de 2026 e remover identidades não autorizadas.
- Revisar grupos, portais e permissões VPN associados a contas novas ou genéricas.
- Comparar configurações atuais com backups confiáveis e investigar exportações pela GUI.
- Rotacionar segredos presentes em configurações exportadas quando houver possibilidade de exposição operacional.
0 Comentários