Campanha FortiBleed comprometeu 73 mil firewalls Fortinet: o que aconteceu e o que muda para as empresas
——————————————————————————————————
Uma operação de ciberespionagem em larga escala, batizada de FortiBleed por pesquisadores, atingiu silenciosamente 73.932 firewalls Fortinet em 194 países. O ataque expôs credenciais administrativas e impactou 21.632 domínios únicos, o que representa cerca de metade de todos os dispositivos FortiGate expostos diretamente à internet, segundo análise da empresa de inteligência Hudson Rock.
A atividade maliciosa foi inicialmente identificada pelo pesquisador Volodymyr “Bob” Diachenko, com aprofundamento posterior de Kevin Beaumont e da própria Hudson Rock. As evidências indicam um grupo de cibercriminosos de língua russa, atuando com múltiplos operadores e alto grau de automação, focado tanto em espionagem quanto em possibilidades de acesso inicial para outros tipos de ataques.
Escala da campanha: bilhões de tentativas de ataque
De acordo com Diachenko, o grupo realizou cerca de 1,16 bilhão de tentativas de acesso direcionadas a mais de 320 mil dispositivos FortiGate. Paralelamente, os criminosos conduziram aproximadamente 2,1 bilhões de tentativas de força bruta contra mais de 160 mil servidores MSSQL, demonstrando um esforço coordenado e massivo de comprometimento de infraestrutura crítica.
O volume de tentativas indica o uso intensivo de ferramentas automatizadas, infraestrutura robusta e banco de dados prévio de alvos. Em vez de ataques pontuais, trata-se de uma campanha industrializada, voltada a maximizar o número de credenciais obtidas e pontos de entrada em redes corporativas ao redor do mundo.
Como os atacantes exploraram os firewalls Fortinet
O vetor central explorado pelos operadores FortiBleed foi a exposição pública da interface de gerenciamento dos dispositivos FortiGate. Em muitos ambientes, a console administrativa e a interface de SSL VPN estavam acessíveis diretamente pela internet, sem camadas adicionais de proteção, o que facilitou a coleta de informações sensíveis.
Os criminosos conseguiram interceptar hashes de autenticação da VPN SSL e, a partir daí, passaram a quebrar essas credenciais em massa. Segundo Kevin Beaumont, o grupo operava um cluster de 45 GPUs dedicado exclusivamente à quebra de senhas, coordenado por meio da plataforma Hashtopolis, que permite gerenciar grandes volumes de hashes distribuídos em múltiplas máquinas.
Essa combinação – interface de gestão exposta, hashes de autenticação capturados e poder computacional elevado – criou o cenário perfeito para comprometer um grande número de firewalls em pouco tempo.
Da borda ao coração da rede: movimentação lateral e persistência
Uma vez violado o firewall, o ataque não parava na borda. Beaumont descreve um padrão consistente de movimentação lateral: os operadores avançam dos dispositivos FortiGate para o ambiente de Active Directory, com o objetivo de obter credenciais privilegiadas, mapear a estrutura interna da rede e estabelecer persistência de longo prazo.
Com acesso ao Active Directory, o grupo consegue criar novos usuários, modificar políticas, instalar backdoors e abrir caminho para futuras campanhas de ransomware, espionagem ou sabotagem. Em muitos casos, mesmo que o dispositivo Fortinet seja posteriormente corrigido ou substituído, os invasores já deixaram portas abertas dentro da rede, o que torna a detecção e a erradicação muito mais complexas.
Alvos de alto perfil e impacto global
A análise do conjunto de dados vazados – descrito pela Hudson Rock como “credenciais de trabalho verificadas” – revela o nível de criticidade das vítimas. Entre as organizações impactadas estão grandes nomes da indústria e de serviços, como Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture e Oracle, além de milhares de empresas de médio e grande porte, órgãos públicos e provedores de infraestrutura crítica.
Em termos setoriais, o segmento mais afetado foi o de serviços de TI, com 1.975 dispositivos comprometidos. Na sequência aparecem empresas de materiais de construção (587), telecomunicações (574) e construção e engenharia (528). Essa distribuição mostra que o problema não se restringe a um único tipo de negócio e atinge desde provedores de tecnologia até indústrias tradicionais.
Geograficamente, a Índia lidera o número de dispositivos impactados, com 9.629 firewalls comprometidos. Em seguida aparecem os Estados Unidos, com 6.352, e Taiwan, com 3.637. A presença de vítimas em 194 países evidencia a natureza global da campanha e o nível de automatização na seleção de alvos.
Comprometimentos completos e exfiltração de documentos sensíveis
A investigação de Diachenko identificou casos de comprometimento total em diversas organizações, incluindo empresas no Japão, Taiwan, Vietnã, Iraque e Turquia. Entre os episódios mais preocupantes está o ataque a uma contratada de defesa ligada à OTAN na Turquia, da qual foram exfiltrados documentos classificados.
Esse tipo de incidente ultrapassa a esfera puramente financeira e entra no campo da segurança nacional e geopolítica. O acesso prolongado e silencioso a redes de defesa, energia, telecomunicações ou infraestrutura crítica permite aos atacantes não apenas roubar informações estratégicas, mas também preparar o terreno para ações de sabotagem ou chantagem futura.
O papel do armazenamento de credenciais e a falha de migração
Um dos pontos-chave explorados na campanha FortiBleed está relacionado à maneira como os dispositivos FortiGate armazenavam credenciais de administrador. A Fortinet passou a endurecer esse mecanismo no início de 2025, adotando PBKDF2 – um método mais robusto de derivação de chaves – para proteger senhas.
No entanto, essa proteção aprimorada só entrava em vigor completamente após a aplicação do firmware atualizado e o novo login ativo dos administradores. Em muitos ambientes, embora o firmware tenha sido atualizado, os administradores não realizaram novo login ou não ajustaram as configurações, o que fez com que credenciais continuassem sendo mantidas no formato mais antigo: hashes SHA-256 com Salt.
Esse formato legado, embora melhor do que senhas em texto puro, é consideravelmente mais vulnerável a ataques de força bruta offline – especialmente quando o atacante dispõe de clusters com dezenas de GPUs. Assim, bastava ao invasor extrair os arquivos de configuração do firewall e processar os hashes em sua infraestrutura de cracking para recuperar as senhas em pouco tempo.
Por que a exposição da interface de gerenciamento é tão crítica
A campanha FortiBleed reforça um erro recorrente em muitas organizações: deixar interfaces de administração diretamente acessíveis pela internet, sem VPN dedicada, restrição de IP, autenticação multifator rigorosa ou segmentação adequada.
Em um cenário no qual grupos de cibercriminosos varrem constantemente a internet em busca de portas abertas e serviços vulneráveis, qualquer interface exposta se torna um alvo imediato. Firewalls, roteadores, controladores de rede e sistemas de gestão de infraestrutura deveriam ser, por padrão, acessíveis apenas a partir de redes internas segregadas ou canais VPN extremamente controlados.
Para muitas empresas, a conveniência de gerenciar equipamentos remotamente se sobrepôs às boas práticas de segurança, abrindo espaço para campanhas em massa como a FortiBleed.
O que as empresas devem fazer agora
Diante da dimensão da campanha, toda organização que utiliza firewalls Fortinet voltados para a internet precisa tratar o assunto como prioridade. Entre as medidas iniciais recomendadas, destacam-se:
1. Revisar imediatamente a exposição de interfaces
– Verificar se a console de gerenciamento e a SSL VPN estão acessíveis publicamente.
– Restringir o acesso administrativo por meio de VPN dedicada, listas de IP confiáveis ou jump hosts protegidos.
2. Aplicar atualizações de firmware e forçar novo login de administradores
– Garantir que todos os dispositivos estejam na versão mais recente suportada.
– Forçar o logout de sessões antigas e exigir novo login para que as credenciais sejam regravadas utilizando PBKDF2.
3. Trocar todas as senhas administrativas
– Alterar credenciais de administrador de firewalls, sistemas de gestão e contas associadas.
– Adotar senhas longas e complexas, preferencialmente gerenciadas por cofres de senhas corporativos.
4. Habilitar autenticação multifator (MFA)
– Ativar MFA para todas as contas com acesso remoto ou privilégios administrativos.
– Priorizar métodos resistentes a phishing, quando disponíveis.
5. Auditar acessos e logs de segurança
– Revisar históricos de login, origens de IP e tentativas de autenticação falhas.
– Investigar sinais de movimentação lateral, criação de usuários suspeitos no Active Directory ou acessos incomuns a servidores críticos.
Como detectar se a rede já foi comprometida
Não basta apenas corrigir o firewall: é fundamental avaliar se já houve invasão e persistência interna. Alguns sinais de alerta incluem:
– Atividade de login a partir países e horários atípicos para o perfil da empresa.
– Contas administrativas recém-criadas ou com alterações de privilégios sem justificativa clara.
– Comunicação de dispositivos internos com endereços IP ou domínios conhecidos por abrigar infraestrutura maliciosa.
– Aumento de tráfego incomum saindo da rede, especialmente envolvendo arquivos sensíveis ou servidores de backup.
Ferramentas de detecção de intrusão, soluções de EDR/XDR e monitoramento de logs centralizado tornam essa análise mais eficiente. Em casos de dúvida ou evidência de invasão, é recomendável acionar equipes especializadas em resposta a incidentes.
Implicações para governança e gestão de risco
A FortiBleed expõe uma fragilidade recorrente na governança de segurança: a dependência excessiva do firewall como “camada mágica” de proteção. Quando o próprio equipamento de borda é comprometido, toda a estratégia baseada em perímetro colapsa.
Empresas que tratam dispositivos de rede como “caixas pretas” frequentemente deixam de aplicar boas práticas básicas, como inventário atualizado, gestão de configuração, revisão periódica de superfícies expostas e testes de intrusão. A campanha reforça a necessidade de:
– Adotar arquiteturas de confiança zero (zero trust), nas quais nenhum ponto é considerado intrinsecamente confiável.
– Segmentar redes, limitando o impacto caso um único equipamento seja violado.
– Integrar segurança de rede, identidade e endpoint sob uma mesma visão de risco.
Lições para o futuro: da correção reativa à prevenção sistemática
O caso FortiBleed ilustra como falhas aparentemente pontuais – como não forçar um novo login após uma mudança de mecanismo de hash – podem se transformar em vetores de ataque em escala global quando combinadas com interfaces expostas e adversários organizados.
Para reduzir a probabilidade de incidentes semelhantes no futuro, organizações podem:
– Estabelecer processos rigorosos de hardening sempre que um novo equipamento é colocado em produção.
– Garantir que atualizações de segurança venham acompanhadas de mudanças operacionais (como rotação de senhas e revisão de acessos).
– Investir em treinamento contínuo de equipes de infraestrutura e segurança, para que entendam as implicações de configurações aparentemente “simples”.
Conclusão: FortiBleed como alerta para todo o ecossistema
A campanha que comprometeu quase 74 mil firewalls Fortinet não é apenas um incidente isolado contra um fabricante específico; ela funciona como um alerta amplo sobre a forma como organizações mundo afora administram seus dispositivos críticos.
Exposição desnecessária, atrasos na aplicação de boas práticas, dependência de configurações padrão e subestimação da capacidade técnica dos atacantes criam exatamente o ambiente em que campanhas como a FortiBleed prosperam.
Para as empresas que utilizam FortiGate – e, por extensão, qualquer outro firewall ou gateway de segurança – o recado é claro: é hora de revisar a postura de segurança de ponta a ponta, tratar credenciais e interfaces de gerenciamento como ativos altamente sensíveis e assumir que, em um cenário de bilhões de tentativas de ataque automatizadas, apenas configurações mínimas não são mais suficientes.