Campanha FortiBleed comprometeu 73 mil firewalls Fortinet e expôs credenciais corporativas no mundo todo
Uma das maiores campanhas recentes de ciberespionagem contra infraestruturas de perímetro de rede atingiu em cheio o ecossistema da Fortinet. A operação, batizada informalmente de FortiBleed por pesquisadores, comprometeu silenciosamente 73.932 firewalls FortiGate distribuídos por 194 países, expondo credenciais administrativas altamente sensíveis e impactando 21.632 domínios distintos. Na prática, isso significa que aproximadamente metade de todos os dispositivos Fortinet expostos diretamente à internet foi alvo ou acabou afetada, de acordo com a análise publicada pela empresa de inteligência Hudson Rock.
A existência da campanha foi inicialmente identificada pelo pesquisador de segurança Volodymyr “Bob” Diachenko, que localizou um grande conjunto de dados contendo credenciais associadas a dispositivos Fortinet. A partir daí, o caso ganhou aprofundamento com investigações adicionais conduzidas por Kevin Beaumont e pela própria Hudson Rock, que conectaram os pontos e revelaram a dimensão global da ofensiva.
Os dados apontam para um grupo de cibercriminosos de língua russa, operando com múltiplos membros e infraestrutura própria, que conduziu aproximadamente 1,16 bilhão de tentativas de acesso contra mais de 320 mil appliances FortiGate. Paralelamente, o mesmo grupo também executou cerca de 2,1 bilhões de tentativas de força bruta direcionadas a mais de 160 mil servidores MSSQL, ampliando o alcance da campanha e demonstrando grande capacidade operacional.
O núcleo técnico do ataque envolveu a interceptação de hashes de autenticação de SSL VPN utilizados pelos dispositivos Fortinet. Em vez de tentar adivinhar senhas diretamente nos equipamentos, os atacantes capturavam esses hashes e os enviavam para um cluster dedicado de 45 GPUs, administrado por meio da ferramenta Hashtopolis. Com esse poder computacional, os criminosos conseguiam quebrar uma grande quantidade de credenciais em modo offline, sem disparar tantos alertas de segurança na borda da rede.
Uma vez conquistado o acesso inicial ao firewall ou à VPN, o grupo não parava no perímetro. Segundo Beaumont, após o comprometimento do FortiGate, os operadores rapidamente passavam a se movimentar lateralmente dentro da rede interna, procurando integrar-se ao ambiente de Active Directory. O objetivo era alcançar persistência de longo prazo, criando contas, backdoors ou rotinas que lhes permitissem voltar ao ambiente mesmo que a senha inicial fosse trocada ou o acesso direto ao firewall fosse revogado.
A investigação de Diachenko identificou casos de comprometimento total de redes corporativas em diferentes regiões, incluindo organizações no Japão, Taiwan, Vietnã, Iraque e Turquia. Em um dos episódios mais graves, uma contratada de defesa vinculada à OTAN na Turquia teve documentos classificados exfiltrados, evidenciando o potencial de impacto geopolítico da operação, que vai muito além do mero roubo de credenciais ou de dados comerciais.
O conjunto de informações vazadas foi descrito pela Hudson Rock como “credenciais de trabalho verificadas”, por se tratar de acessos corporativos reais, associados a infraestruturas críticas de empresas de grande porte. Entre as vítimas listadas estão gigantes como Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture e Oracle, além de milhares de outras organizações, incluindo órgãos governamentais e provedores de serviços considerados críticos para a continuidade de negócios em vários países.
Em termos de setores econômicos, o mais afetado foi o de serviços de TI, com 1.975 dispositivos comprometidos. Na sequência vêm empresas de materiais de construção (587), telecomunicações (574) e o segmento de construção e engenharia (528). Esse recorte setorial mostra que a campanha não mirou apenas alvos óbvios como bancos ou grandes varejistas, mas explorou massivamente qualquer organização que mantivesse dispositivos Fortinet expostos e mal configurados, em diferentes indústrias.
No recorte geográfico, a Índia aparece no topo da lista de países afetados, com 9.629 dispositivos comprometidos, seguida pelos Estados Unidos, com 6.352, e por Taiwan, com 3.637. Esses números sugerem que os criminosos priorizaram regiões com alta densidade de infraestrutura de TI e grande número de provedores de serviços, onde um único firewall pode dar acesso a ambientes de múltiplos clientes. Ao mesmo tempo, demonstram como campanhas maciças, automatizadas e globais deixam pouco espaço para a ideia de que apenas “alvos de alto perfil” correm risco.
De acordo com a análise técnica, a porta de entrada para muitos desses incidentes foi a exposição direta da interface de gerenciamento do FortiGate à internet. Ao permitir que a console administrativa ficasse publicamente acessível, diversos administradores, na prática, ampliaram a superfície de ataque, facilitando tanto tentativas de exploração de vulnerabilidades conhecidas quanto o roubo e posterior quebra de hashes de autenticação. Em alguns casos, essa interface era exposta por conveniência operacional, sem a devida compensação com controles adicionais, como VPNs dedicadas, IPs de gestão restritos ou autenticação multifator forte.
A Fortinet, por sua vez, havia endurecido o mecanismo de armazenamento de credenciais de administrador no início de 2025, migrando para o uso de PBKDF2, uma função de derivação de chave mais resistente a ataques de força bruta. No entanto, essa proteção reforçada só passou a valer plenamente para contas que efetuaram login após a aplicação das atualizações de firmware. Em muitos equipamentos, os administradores não refizeram o processo de autenticação pós-update, mantendo na prática as senhas armazenadas no formato anterior, baseado em SHA-256 com Salt.
Essa combinação de fatores criou um cenário especialmente perigoso: dispositivos atualizados do ponto de vista de firmware, mas ainda com hashes antigos e menos seguros preservados nos arquivos de configuração. Assim, bastava que os atacantes conseguissem extrair esses arquivos para, em seguida, quebrar as senhas offline com seu cluster de GPUs. Enquanto administradores acreditavam estar protegidos pela simples instalação de patches, na realidade uma parte expressiva da superfície de credenciais permanecia vulnerável.
O caso FortiBleed evidencia uma falha recorrente em estratégias de segurança: considerar o ciclo de atualização completo apenas até o momento da aplicação do patch. Alterações estruturais, como a mudança do algoritmo de hash de credenciais, exigem ações adicionais de operação, como a obrigatoriedade de redefinição de senhas, a expiração forçada de credenciais antigas ou pelo menos a realização de um novo login para regenerar o armazenamento seguro. Quando essas medidas não são impostas por padrão, muitas organizações ficam presas em um “meio-termo inseguro”, em que parte das melhorias de segurança simplesmente não entra em vigor.
Para as empresas afetadas, o impacto real da campanha vai além do risco de um acesso pontual indevido. Com credenciais de administrador de firewall e VPN em mãos, os atacantes podem:
– Monitorar e desviar tráfego sensível, incluindo comunicações internas e conexões com parceiros;
– Injetar regras maliciosas de roteamento ou filtragem, abrindo portas discretas para futuras invasões;
– Mapear o ambiente interno e identificar rapidamente controladores de domínio, servidores de arquivos, bancos de dados e aplicações críticas;
– Implantar backdoors e ferramentas de acesso remoto persistente, que permanecem mesmo após a correção inicial do incidente.
Para mitigar o risco associado à campanha FortiBleed – e a outras ofensivas semelhantes que inevitavelmente surgirão – especialistas recomendam uma abordagem em múltiplas camadas. Entre as principais ações imediatas, destacam-se:
– Bloquear o acesso público direto à interface de gerenciamento dos dispositivos FortiGate, restringindo a gestão a redes internas, VPNs dedicadas ou salt hosts específicos;
– Forçar a redefinição de todas as credenciais administrativas armazenadas antes da adoção de PBKDF2, garantindo que nenhum hash legado permaneça ativo;
– Habilitar autenticação multifator para qualquer acesso privilegiado, especialmente em consoles de firewall e portais de SSL VPN;
– Revisar detalhadamente os arquivos de configuração de firewalls e VPNs em busca de alterações suspeitas, contas desconhecidas ou regras de acesso anômalas;
– Conduzir varreduras completas em ambientes de Active Directory para localizar contas de serviço criadas sem justificativa clara, GPOs estranhas e outros indícios de persistência.
Além das ações pontuais, a campanha reforça a necessidade de uma mudança de mentalidade em relação a dispositivos de perímetro. Firewalls, concentradores VPN e appliances de segurança não devem ser vistos como elementos estáticos, instalados e esquecidos, mas como ativos críticos que exigem monitoramento contínuo, inventário atualizado e validação periódica de configuração. Em muitos incidentes, o problema não está apenas na ausência de patches, mas em decisões de arquitetura que privilegiam conveniência imediata em detrimento de práticas seguras de exposição.
Outro ponto que emerge desse caso é a profissionalização dos grupos criminosos envolvidos em campanhas de larga escala. O uso de clusters com dezenas de GPUs dedicadas à quebra de senhas, a automação via ferramentas especializadas e a capacidade de orquestrar bilhões de tentativas de acesso demonstram que o modelo de ataque atual se aproxima, em muitos aspectos, da estrutura de operação de grandes empresas de tecnologia – só que voltadas para fins ilícitos. Isso eleva a exigência sobre as defesas corporativas, que precisam ser igualmente estruturadas, com processos claros, monitoramento 24/7 e equipe preparada para interpretar sinais sutis de invasão.
Para organizações que ainda não sabem se foram afetadas, o caminho recomendado inclui: revisar logs de acesso de VPN e administração de firewalls em busca de conexões incomuns; monitorar tentativas de login vindas de países sem relação comercial com a empresa; analisar comportamento de contas administrativas nos últimos meses; e considerar o uso de serviços de threat intelligence para verificar se credenciais associadas aos seus domínios apareceram em conjuntos de dados vazados. Quanto mais cedo uma possível exposição for identificada, menores as chances de que um acesso já obtido se transforme em comprometimento profundo do ambiente.
Em última instância, o episódio FortiBleed funciona como um alerta: mesmo tecnologias amplamente adotadas e fabricadas por fornecedores reconhecidos podem se tornar ponto de entrada crítico quando mal configuradas, subatualizadas ou gerenciadas sem um processo rigoroso. A combinação de exposição indevida, armazenamento de credenciais legadas e adversários com grande poder computacional cria o cenário perfeito para campanhas massivas como essa. Para reduzir o espaço de manobra desses grupos, será indispensável que empresas de todos os portes encarem firewalls e VPNs não como barreiras intransponíveis, mas como sistemas vivos, que precisam ser revisados, testados e fortalecidos continuamente.