SentinelOne identifica campanha de ataques em firewalls FortiGate e alerta para riscos de acesso persistente em redes corporativas
Uma campanha coordenada de ataques, detectada pela SentinelOne no início de 2026, vem explorando falhas críticas em firewalls FortiGate para estabelecer acesso persistente ao ambiente interno de empresas. Os criminosos têm como alvo direto dispositivos de borda – responsáveis por separar a rede corporativa da internet – e, a partir deles, avançam para servidores sensíveis, serviços de diretório e outros ativos críticos.
O foco dos atacantes são três vulnerabilidades graves, divulgadas entre dezembro de 2025 e fevereiro de 2026, que permitem a invasores não autenticados assumir controle administrativo dos dispositivos FortiGate. Em outras palavras, basta o dispositivo estar exposto e vulnerável para que o atacante consiga atuar como se fosse um administrador legítimo do firewall.
Segundo a SentinelOne, duas dessas falhas, identificadas como CVE-2025-59718 e CVE-2025-59718, estão relacionadas ao uso indevido de tokens SAML manipulados. Ao explorar essa brecha, o invasor contorna os mecanismos normais de autenticação e obtém privilégios administrativos sem precisar de credenciais válidas. A terceira falha, catalogada como CVE-2026-24858, foi explorada como zero-day em janeiro de 2026, ou seja, antes mesmo de existir correção pública e conhecimento amplo do problema.
Uma vez dentro do FortiGate, o atacante passa a tratar o firewall não apenas como um ponto de passagem de tráfego, mas como uma porta de entrada estratégica. Entre as ações observadas, estão a extração de arquivos de configuração e a descriptografia de credenciais armazenadas para serviços como LDAP e Active Directory. Isso permite que os criminosos saltem rapidamente do perímetro para o coração da infraestrutura, autenticando-se em servidores internos com contas legítimas e com alto nível de privilégio.
A SentinelOne detalhou dois incidentes que ilustram bem o modus operandi dos invasores. No primeiro, o criminoso, após explorar a vulnerabilidade, criou uma conta de administrador local no FortiGate e simplesmente aguardou. Durante cerca de dois meses, não houve movimentação perceptível. Esse comportamento é típico de “corretores de acesso inicial”, que invadem, garantem persistência e depois vendem o acesso a outros grupos, especializados em extorsão, ransomware ou espionagem.
No segundo caso, observado em dezembro de 2025, a postura do atacante foi bem mais agressiva e rápida. Minutos depois de comprometer o FortiGate, o criminoso acessou diversos servidores internos, implantou ferramentas de acesso remoto e monitoramento, extraiu o banco de dados completo do Active Directory – contendo usuários, grupos, políticas e, em alguns cenários, hashes de senhas – e, logo em seguida, exfiltrou os dados. Após concluir o roubo de informações, o atacante apagou o banco do AD, provocando interrupção de serviços e ampliando o impacto operacional do ataque.
Esses exemplos mostram que comprometer o firewall não é o fim do ataque, mas o início. A partir do controle do FortiGate, é possível monitorar tráfego, injetar regras maliciosas, redirecionar conexões, interceptar credenciais em trânsito e, sobretudo, usar as integrações já configuradas (como LDAP, SSO e autenticação corporativa) para escalar privilégios rapidamente.
Diante desse cenário, a SentinelOne enfatiza algumas medidas urgentes de defesa. A primeira delas é a aplicação imediata de todos os patches e atualizações de segurança fornecidos pela Fortinet para os modelos afetados. Dispositivos de borda expostos à internet, sem correção, se tornam alvos prioritários em varreduras automatizadas conduzidas por grupos criminosos.
Outra recomendação crítica é a rotação de credenciais ligadas a LDAP e Active Directory sempre que houver qualquer suspeita de comprometimento do firewall. Se o FortiGate foi acessado por terceiros, é prudente assumir que as credenciais armazenadas ali possam ter sido copiadas ou descriptografadas. Trocar senhas, chaves e segredos associados a esses serviços é fundamental para cortar o efeito dominó na rede interna.
A empresa também orienta organizações a monitorar com atenção a criação de novas contas administrativas no firewall e em sistemas correlacionados. Contas de administrador locais, surgidas sem um processo formal de mudança ou sem registro em chamados internos, devem ser tratadas como indicadores de possível invasão. A correlação entre logs do FortiGate, sistemas de diretório e ferramentas de gerenciamento de identidades ajuda a identificar comportamentos anômalos.
Manter logs por pelo menos 14 dias, conforme a recomendação, é outro ponto-chave. Em muitos incidentes, o atacante age de forma discreta nas primeiras horas ou dias, fazendo reconhecimento e testando acessos. Sem um histórico mínimo de registros, fica muito mais difícil reconstruir a linha do tempo do ataque, entender o que foi feito, quais sistemas foram acessados e quais dados podem ter sido comprometidos.
Para além das recomendações pontuais, o cenário exposto pela campanha contra FortiGate reforça a importância de uma estratégia de segurança em camadas. Firewalls continuam sendo elementos essenciais, mas não podem ser a única barreira. Mesmo assumindo que o perímetro possa ser violado, a organização deve contar com segmentação de rede, controle rigoroso de privilégios, autenticação multifator e monitoramento contínuo de comportamento.
Outro ponto frequentemente negligenciado é o papel dos backups, especialmente em ambientes Cloud e SaaS. Muitos gestores partem do pressuposto de que, por estarem em nuvem, dados e serviços já contam com proteção automática contra exclusão ou corrupção maliciosa. Na prática, isso não é garantido. Em ataques em que os criminosos conseguem acesso administrativo, não é raro que tentem apagar backups, snapshots ou históricos de versões para aumentar o poder de chantagem. Por isso, é fundamental ter políticas claras de cópias de segurança independentes, testadas regularmente, com retenção adequada e, sempre que possível, isoladas do domínio de produção.
Programas de gestão de vulnerabilidades e de atualização contínua também ganham protagonismo. O intervalo entre a divulgação de uma falha crítica e o início da exploração em massa tem se reduzido drasticamente. Em alguns casos, a exploração começa antes mesmo da divulgação oficial, como no caso da CVE-2026-24858 usada como zero-day. Ter inventário atualizado de ativos, visibilidade sobre versões de firmware e processos ágeis para implantação de patches pode ser a diferença entre bloquear uma campanha ou se tornar parte das estatísticas.
Além disso, investir em detecção e resposta a incidentes é essencial. Ferramentas de EDR/XDR, aliadas a equipes de segurança bem treinadas, podem identificar comportamentos atípicos, como acessos fora de horário, conexões a partir de endereços IP incomuns, uso anômalo de contas administrativas e implantação súbita de ferramentas de acesso remoto. Quanto menor o tempo entre a intrusão e a detecção, menor costuma ser o dano.
Por fim, a conscientização da alta gestão sobre o papel de dispositivos como o FortiGate é determinante. Não se trata apenas de um equipamento de rede, mas de um ponto estratégico, que, quando violado, abre caminho para ataques mais complexos e de alto impacto, como sequestro de dados, interrupção de serviços e espionagem corporativa. Incorporar esse risco aos planos de continuidade de negócios, testes de crise e exercícios de resposta a incidentes ajuda a garantir que, se um ataque ocorrer, a organização esteja preparada para reagir de forma coordenada e eficaz.
Em um contexto em que campanhas direcionadas a infraestruturas críticas, navegadores populares e até plataformas de jogos se multiplicam, a série de ataques contra firewalls FortiGate é mais um lembrete de que segurança não é um projeto pontual, mas um processo contínuo. A combinação de correções rápidas, boas práticas de configuração, monitoramento constante e capacidade de resposta estruturada é hoje um requisito mínimo para qualquer empresa que dependa de sua rede para operar.