FortiBleed: campanha expõe 75 mil firewalls Fortinet ao redor do mundo
Pesquisadores de segurança revelaram uma campanha em larga escala que resultou na coleta massiva de credenciais de dispositivos FortiGate, expondo cerca de 75 mil firewalls Fortinet em 194 países. O incidente, apelidado de “FortiBleed”, representa um risco de comprometimento prolongado de redes corporativas e governamentais, já que envolve o uso de senhas reais, muitas vezes ainda válidas, para acesso remoto a ambientes críticos.
De acordo com as análises divulgadas, o conjunto de dados em posse dos atacantes inclui credenciais de VPN, usuários e senhas de administração, além de informações de configuração de firewalls Fortinet e appliances FortiGate implantados globalmente. Na prática, isso significa que invasores podem utilizar essas credenciais para se autenticar como usuários legítimos, burlar controles tradicionais de segurança e mapear a infraestrutura interna das organizações para preparar ataques mais sofisticados.
Um ponto importante é que, até o momento, não há indicação clara de que a campanha esteja ligada a uma vulnerabilidade nova ou a um bug recentemente divulgado. Em vez disso, pesquisadores acreditam que as informações possam ter sido coletadas ao longo do tempo, a partir de comprometimentos anteriores de dispositivos Fortinet – possivelmente explorando falhas já conhecidas, configurações fracas, senhas reutilizadas ou dispositivos expostos na internet sem proteção adequada. Isso reforça a tese de que dados antigos, quando não tratados corretamente, continuam sendo uma ameaça atual.
A campanha foi inicialmente destacada pelo pesquisador de segurança Volodymyr Diachenko, que identificou uma lista mantida por criminosos com senhas potencialmente funcionais de dispositivos FortiGate, supostamente coletadas “por diversos meios”. Em seguida, a equipe da SOCRadar localizou, de forma independente, um servidor de comando e controle controlado por um agente de ameaça ainda não identificado. Nesse servidor, foram encontrados não apenas os conjuntos de credenciais roubadas, mas também ferramentas utilizadas para automatizar os ataques, listas detalhadas de vítimas e indícios sobre a infraestrutura e o modus operandi do grupo.
Em um primeiro momento, a SOCRadar estimou que o banco de dados continha logins válidos para cerca de 30.791 dispositivos Fortinet expostos. Análises posteriores, realizadas em conjunto por outros grupos de pesquisa, revisaram esse número para aproximadamente 75.000 equipamentos afetados – o que representa perto de metade de todos os firewalls Fortinet voltados para a internet que aparecem em motores de busca de dispositivos, como aqueles voltados à varredura de infraestrutura exposta. Os alvos estão distribuídos por 194 países, englobando mais de 21 mil domínios distintos, de todos os portes e setores.
Uma das descobertas mais preocupantes é o uso, em muitos desses ambientes, de esquemas antigos de armazenamento de senhas. Diversos dispositivos afetados estavam configurados para guardar credenciais de administrador com algoritmos de hash obsoletos, muito menos resistentes à quebra offline do que as implementações mais modernas. Em cenários assim, se o atacante consegue obter os arquivos de configuração ou bases de dados internas, a probabilidade de recuperar as senhas em texto puro aumenta consideravelmente, facilitando a invasão.
Outro fator que ampliou o impacto da campanha FortiBleed foi a alta exposição direta de dispositivos FortiGate na internet. Muitos firewalls estavam acessíveis sem camadas adicionais de proteção, como filtros de IP, autenticação forte ou segmentação de acesso administrativo. Isso transformou esses equipamentos em portas de entrada ideais para quem busca “acesso inicial” a redes corporativas, seja para movimentos de espionagem, seja para preparar ataques de ransomware, sequestro de dados ou fraudes financeiras.
O risco central está no uso de credenciais válidas, porém comprometidas. Em vez de explorar uma falha de software visível e gerar alertas imediatos, os invasores entram “pela porta da frente”, utilizando usuário e senha aparentemente legítimos. Isso torna a detecção muito mais complexa, já que os acessos frequentemente se assemelham ao comportamento normal de funcionários, prestadores de serviço ou administradores de rede. Uma vez dentro, os agentes podem escalar privilégios, mover-se lateralmente, criar usuários adicionais, implantar backdoors, instalar malware e extrair dados sigilosos por longos períodos, sem chamar atenção.
Em resposta ao cenário, órgãos reguladores e agências de cibersegurança, como a CISA, reforçaram recomendações específicas para organizações que utilizam produtos Fortinet, em especial firewalls FortiGate e gateways VPN SSL. Entre as orientações mais importantes estão:
– Tratar todas as credenciais associadas a dispositivos Fortinet como potencialmente comprometidas, especialmente contas de administração e usuários de VPN.
– Alterar imediatamente senhas de administradores e de acesso remoto, adotando senhas fortes e únicas, e evitando qualquer reutilização de credenciais entre sistemas diferentes.
– Forçar o reset de senhas de todos os usuários VPN e, quando possível, invalidar sessões ativas para evitar o reaproveitamento de tokens de autenticação comprometidos.
– Habilitar autenticação multifator (MFA) para todas as contas com acesso remoto ou privilégios elevados, reduzindo o impacto de senhas vazadas.
– Atualizar o firmware de todos os dispositivos FortiGate para as versões mais recentes suportadas, que empregam mecanismos de hash mais robustos e trazem correções de segurança acumuladas.
– Revisar configurações de exposição à internet, restringindo o acesso à interface de administração e priorizando o gerenciamento por redes internas ou VPNs devidamente protegidas.
– Analisar detalhadamente os logs de acesso e autenticação, em busca de acessos suspeitos, horários incomuns, IPs de origem anômalos ou tentativas de login massivas.
– Implementar segmentação de rede e princípios de privilégio mínimo, de modo a limitar o movimento lateral caso um dispositivo já esteja comprometido.
Além dessas ações imediatas, é fundamental que as empresas encarem o episódio FortiBleed como um alerta sobre o risco crescente dos ataques baseados em credenciais. Nos últimos anos, grupos criminosos têm preferido cada vez mais comprar, roubar ou colher dados de login do que investir tempo em explorar falhas raras e complexas. Esse modelo é mais barato, escalável e muitas vezes mais difícil de detectar. Vazamentos de bancos de senhas, arquivos de configuração expostos, phishings bem-sucedidos e dispositivos sem proteção adequada tornam-se componentes de um mesmo ecossistema de ataque.
Outro ponto crítico é a falsa sensação de segurança em torno de “hashes antigos, problemas novos”. Muitas organizações acreditam que, por não enxergarem evidências atuais de exploração de um determinado sistema, podem postergar a modernização de algoritmos de hash de senhas ou a renovação de dispositivos legados. O caso FortiBleed mostra o oposto: um mecanismo de proteção considerado aceitável anos atrás pode ser facilmente quebrado hoje, graças ao aumento de poder computacional e à evolução das ferramentas de ataque. Deixar esses componentes sem atualização é praticamente um convite para invasores.
Para mitigar riscos em médio e longo prazos, é recomendável que empresas adotem uma estratégia estruturada de gestão de credenciais e de acesso. Isso inclui, além da MFA e de senhas fortes, inventariar todos os dispositivos expostos, reduzir a superfície de ataque, padronizar políticas de rotação periódica de senhas críticas e usar cofres de senhas corporativos. Monitoramento contínuo de acessos, com alertas baseados em comportamento anômalo (como tentativas de logins a partir de países incomuns ou em horários incompatíveis), também é um componente essencial.
Equipes de segurança devem, ainda, avaliar se já houve sinais de comprometimento. Entre os indícios a serem observados estão: alterações não autorizadas em políticas de firewall, criação de contas administrativas desconhecidas, configurações de VPN modificadas, conexões remotas vindas de endereços IP fora do padrão habitual da organização e picos de tráfego incomuns em horários de pouco uso. Encontrar qualquer um desses sinais exige uma resposta imediata, que inclui isolamento do dispositivo afetado, análise forense e, se necessário, reconstrução limpa do ambiente.
Do ponto de vista de governança, a campanha FortiBleed também expõe a importância de tratar dispositivos de segurança como ativos críticos de TI, e não como meros “caixotes de rede”. Firewalls, gateways VPN, appliances de segurança e sistemas de gestão de identidade concentram o poder de bloquear ou permitir acessos. Quando comprometidos, viram ferramentas poderosas nas mãos dos atacantes. Por isso, precisam estar sob rígido controle de mudança, inventário atualizado, monitoramento constante e políticas claras de quem pode acessá-los e como.
Por fim, embora nenhuma vulnerabilidade específica (como um CVE recém-divulgado) tenha sido diretamente ligada à FortiBleed, o caso evidencia algo que muitas vezes é negligenciado: falhas de configuração, políticas fracas de senhas e descuido com credenciais vazadas podem ser tão destrutivos quanto um exploit zero-day. A combinação de dados antigos, dispositivos expostos e práticas de segurança defasadas cria brechas enormes, que grupos maliciosos exploram com eficiência.
Organizações que utilizam Fortinet e outros fabricantes de segurança de perímetro devem aproveitar o momento para revisar sua postura de segurança como um todo, implementar medidas técnicas e processuais mais maduras e estabelecer rotinas de auditoria contínua. Prevenir que o próximo “FortiBleed” afete a sua rede depende menos de reagir a um incidente isolado e mais de construir, dia após dia, uma base sólida de boas práticas de proteção de credenciais e de gestão de dispositivos críticos.