pixabay

SentinelOne alerta para onda de ataques em FortiGate

Uma onda de ataques identificada pela SentinelOne no início de 2026 revelou que criminosos estão comprometendo firewalls FortiGate para obter acesso persistente em redes corporativas. As invasões exploram três vulnerabilidades críticas divulgadas entre dezembro de 2025 e fevereiro de 2026, permitindo que atacantes não autenticados obtenham controle administrativo dos dispositivos.

Falhas críticas e acesso à rede interna

De acordo com a SentinelOne, as vulnerabilidades CVE-2025-59718 e CVE-2025-59718 permitem acesso administrativo via tokens SAML manipulados. Uma terceira falha, CVE-2026-24858, foi explorada como zero-day em janeiro. Uma vez dentro, os atacantes extraem arquivos de configuração e descriptografam credenciais de serviços como LDAP e Active Directory, avançando diretamente para a rede interna.

Dois incidentes revelam métodos distintos

No primeiro caso, o atacante criou uma conta admin local e aguardou dois meses, comportamento típico de corretores de acesso inicial. No segundo, em dezembro de 2025, o criminoso acessou múltiplos servidores em minutos, implantou ferramentas de monitoramento remoto, extraiu o banco de dados do Active Directory e exfiltrou os dados antes de apagá-los.

Recomendações de defesa

A SentinelOne recomenda aplicar imediatamente os patches da Fortinet, rotacionar credenciais LDAP e AD após suspeita de comprometimento, monitorar criação de contas admin suspeitas e manter logs por pelo menos 14 dias.