FortiBleed expõe 75 mil firewalls Fortinet: entenda o impacto e o que fazer agora
Pesquisadores de segurança revelaram uma campanha de larga escala batizada de “FortiBleed”, na qual agentes maliciosos coletaram credenciais de dispositivos FortiGate em todo o mundo. O resultado é alarmante: aproximadamente 75.000 firewalls Fortinet voltados para a internet tiveram credenciais expostas, afetando organizações em 194 países e mais de 21.000 domínios diferentes.
Essas informações vazadas incluem, principalmente, credenciais de VPN e dados de configuração de firewalls Fortinet e FortiGate. Em mãos erradas, esse tipo de dado permite que invasores acessem ambientes internos como se fossem usuários legítimos, contornando diversos controles de segurança. Além disso, as configurações dos dispositivos revelam detalhes sensíveis da arquitetura de rede, o que facilita ataques posteriores mais sofisticados, como movimentação lateral, escalonamento de privilégios, implantação de malware e exfiltração de informações confidenciais.
Ao contrário do que se costuma ver em grandes incidentes, até o momento não há indicação de que o FortiBleed esteja diretamente ligado a uma vulnerabilidade recém-divulgada ou a um CVE específico. As evidências apontam para algo mais insidioso: o uso de dados obtidos a partir de compromissos anteriores envolvendo dispositivos Fortinet, possivelmente explorando brechas antigas, configurações fracas ou credenciais reutilizadas. Em outras palavras, problemas do passado estão gerando consequências graves no presente.
A investigação inicial ganhou força quando o pesquisador de segurança Volodymyr Diachenko identificou uma lista, mantida por invasores, com senhas potencialmente válidas de dispositivos FortiGate, supostamente coletadas “por diversos meios”. Em seguida, a equipe de pesquisa da SOCRadar localizou, de forma independente, um servidor operacional de um ator de ameaça ainda não identificado. Esse servidor abrigava uma lista de credenciais roubadas, ferramentas de ataque, infraestrutura de automação, relação de vítimas e indícios sobre a identidade e o modus operandi dos responsáveis pela campanha.
Num primeiro momento, acreditava-se que cerca de 30.791 dispositivos possuíam credenciais válidas expostas. Porém, análises mais detalhadas, envolvendo outros pesquisadores e empresas de inteligência de ameaças, elevaram essa estimativa para aproximadamente 75.000 firewalls Fortinet comprometidos – o que representa cerca de metade de todos os dispositivos Fortinet voltados para a internet catalogados em motores de busca de dispositivos, como o Shodan. Trata-se, portanto, de um incidente com alcance global e potencial de impacto estratégico para milhares de organizações.
Um dos pontos que mais preocupou os especialistas foi a descoberta de que muitos sistemas comprometidos utilizavam mecanismos de hash antigos para armazenar senhas de administradores. Esses métodos legados são significativamente mais frágeis frente a ataques de quebra de senha offline, especialmente quando comparados com algoritmos e práticas mais modernos, como uso de sal, iterações múltiplas e funções de hash específicas para senhas. Assim, mesmo que os dados tenham sido coletados há algum tempo, o poder computacional atual torna cada vez mais viável quebrar esses hashes e recuperar as senhas em texto puro.
Outro fator que ampliou o risco foi o fato de um grande volume de dispositivos FortiGate vulneráveis estar exposto diretamente à internet, alguns com portas administrativas acessíveis externamente. Isso torna esses equipamentos alvos extremamente atraentes, pois um único conjunto de credenciais válidas pode abrir a porta para toda a rede interna da organização. Quando o atacante se autentica com um usuário legítimo – em especial uma conta administrativa – muitos mecanismos de detecção se tornam menos eficazes, já que o comportamento, à primeira vista, parece “autorizado”.
O maior perigo da campanha FortiBleed não está em uma falha técnica isolada, mas no uso abusivo de credenciais válidas, porém comprometidas. Com logins legítimos em mãos, os criminosos conseguem burlar soluções de segurança que se baseiam apenas em assinatura, verificação de origem do IP ou bloqueios superficiais. A partir daí, conseguem mapear a rede, acessar sistemas internos, alterar configurações, criar novas contas administrativas, instalar backdoors e, em última instância, manter acesso persistente por longos períodos sem serem detectados.
Diante da gravidade da situação, a agência de cibersegurança dos Estados Unidos (CISA) recomendou fortemente que organizações que utilizam produtos Fortinet, sobretudo dispositivos FortiGate com gateways VPN SSL expostos à internet, adotem medidas imediatas. Embora as orientações técnicas detalhadas variem conforme o ambiente, algumas ações são consideradas urgentes e essenciais para reduzir o risco:
– Tratar todas as credenciais associadas a dispositivos FortiGate e VPN SSL como potencialmente comprometidas.
– Realizar a redefinição completa de senhas de administradores, contas de VPN e demais credenciais relacionadas, adotando senhas fortes e únicas.
– Verificar se há uso de hashing antigo ou fraco para senhas e, se for o caso, migrar para algoritmos mais modernos e recomendações atuais de segurança.
– Revisar, endurecer e, quando possível, restringir o acesso administrativo remoto aos firewalls, priorizando o gerenciamento a partir de redes internas ou via jump servers controlados.
– Auditar logs de acesso e eventos nos dispositivos FortiGate e na infraestrutura associada, buscando indícios de autenticações suspeitas, uso anômalo de contas privilegiadas e comportamentos fora do padrão.
– Implementar ou reforçar a autenticação multifator (MFA) para acessos administrativos e VPNs, de modo a dificultar o uso de credenciais vazadas.
A campanha FortiBleed joga luz sobre uma tendência preocupante: a crescente dependência, por parte de cibercriminosos, de credenciais roubadas como ponto de entrada principal, em vez de exploração direta de vulnerabilidades de software. Mesmo sem uma falha zero-day no centro do incidente, a escala da exposição mostra como a combinação de configurações frágeis, políticas de senha inadequadas e vazamentos históricos pode abrir brechas graves na segurança de redes inteiras.
Para muitas organizações, o incidente deve servir como um alerta para revisar não apenas a postura de segurança dos dispositivos Fortinet, mas também toda a estratégia de proteção baseada em identidade e acesso. Não basta aplicar patches; é crítico implementar governança de credenciais, revisitar o ciclo de vida de contas, monitorar logins privilegiados e adotar uma visão de segurança baseada em “confiança zero”, em que nenhuma conexão é automaticamente confiável só porque utiliza um usuário válido.
O que as empresas afetadas precisam fazer na prática
Além das recomendações gerais, algumas medidas práticas podem ser adotadas imediatamente por equipes de segurança e infraestrutura:
1. Mapear todos os ativos Fortinet
– Identificar todos os dispositivos FortiGate e produtos Fortinet expostos à internet ou conectados a ambientes críticos.
– Criar um inventário atualizado com versões de firmware, configurações de VPN e perfis de acesso.
2. Forçar rotação de credenciais
– Redefinir senhas de administradores, contas de manutenção, usuários de VPN e quaisquer contas usadas para integração com sistemas externos.
– Garantir que novas credenciais sejam únicas por sistema e não reutilizadas de outros ambientes.
3. Revisar políticas de acesso remoto
– Desativar acessos administrativos pela internet sempre que possível.
– Quando o acesso externo for indispensável, restringi-lo por IP, usar túneis dedicados ou bastion hosts, e reforçar com MFA.
4. Analisar logs em busca de intrusões passadas
– Revisitar registros históricos em busca de logins fora de horário, conexões a partir de países não usuais ou uso de contas administrativas por longos períodos.
– Correlacionar esses eventos com outros sistemas (AD, servidores críticos, endpoints) para detectar movimentação lateral.
5. Reforçar detecção de uso indevido de contas
– Implementar monitoramento de comportamento de usuários (UEBA) e alertas para ações suspeitas realizadas com contas privilegiadas.
– Estabelecer processos claros para resposta a incidentes envolvendo credenciais, com playbooks específicos.
Impactos estratégicos para segurança corporativa
O episódio FortiBleed evidencia que dispositivos de perímetro – firewalls, VPNs, gateways – continuam sendo alvos prioritários de ataques, pois funcionam como ponto de entrada centralizado para redes inteiras. Quando esses equipamentos são comprometidos, o invasor ganha uma posição privilegiada para observar, manipular e explorar todo o ambiente interno.
Além disso, o uso de credenciais reais complica muito a detecção. Ferramentas tradicionais, que focam em assinaturas de malware ou tráfego claramente malicioso, podem falhar em identificar um atacante que age com o “login certo”, mas com intenções erradas. Por isso, cresce a importância de estratégias como:
– Segurança baseada em identidade, com foco em quem acessa, de onde e com que comportamento.
– Segmentação de rede, evitando que a quebra de um único dispositivo de perímetro dê acesso irrestrito a todos os sistemas.
– Princípio de privilégio mínimo, limitando o poder de contas administrativas e separando funções de administração de rede, firewall e aplicações.
Como reduzir a dependência de credenciais estáticas
Um dos aprendizados mais relevantes do FortiBleed é que depender apenas de usuário e senha para acesso remoto a infraestruturas críticas é uma aposta arriscada. Para mitigar esse risco, organizações podem:
– Adotar autenticação multifator como padrão para qualquer acesso de administração ou VPN.
– Avaliar o uso de certificados digitais para autenticação de dispositivos e usuários, diminuindo a dependência de senhas.
– Implementar soluções de gerenciamento de acesso privilegiado (PAM), com cofres de senha, rotação automática e uso sob demanda de credenciais administrativas.
– Reduzir o uso de senhas fixas e, sempre que possível, migrar para modelos de acesso temporário e just-in-time.
O papel das atualizações e boas práticas de configuração
Ainda que FortiBleed não esteja ligado a um novo CVE específico, manter os dispositivos sempre atualizados é essencial. Muitas campanhas de coleta de credenciais se apoiam em vulnerabilidades antigas, já documentadas e corrigidas, mas que continuam exploráveis porque organizações atrasam a aplicação de patches.
Além das atualizações, boas práticas de configuração fazem grande diferença:
– Desativar serviços e portas desnecessários.
– Impedir o acesso administrativo diretamente pela internet.
– Utilizar criptografia forte nas conexões VPN.
– Separar funções administrativas, evitando que uma única conta seja “chave mestra” de toda a infraestrutura.
FortiBleed como ponto de virada
Para muitos especialistas, o caso FortiBleed deve ser encarado não apenas como um incidente pontual, mas como um ponto de virada na forma como as empresas encaram segurança de perímetro e gestão de credenciais. Ele demonstra que:
– Informações antigas, mal protegidas, podem ressurgir anos depois em campanhas de grande escala.
– A ausência de um “grande zero-day” não significa que o risco seja baixo.
– A combinação de senhas fracas, hashing desatualizado e exposição desnecessária à internet cria um terreno fértil para ataques silenciosos e persistentes.
Em síntese, organizações que utilizam Fortinet – e, por extensão, qualquer fabricante de firewalls e VPN – precisam agir como se suas credenciais pudessem já estar nas mãos de atacantes. Isso significa revisar profundamente acessos, endurecer configurações, modernizar políticas de senha e, principalmente, adotar uma mentalidade de segurança que não se baseie apenas em barreiras externas, mas em controle rigoroso de identidade, privilégio e comportamento dentro da rede.