SentinelOne alerta para onda de ataques em firewalls FortiGate
Uma campanha coordenada de ataques, identificada pela SentinelOne no início de 2026, está explorando falhas críticas em firewalls FortiGate para garantir acesso persistente às redes internas de empresas. Os criminosos têm conseguido assumir o controle administrativo desses dispositivos, usando-os como porta de entrada direta para o ambiente corporativo.
Os ataques se baseiam em três vulnerabilidades severas, divulgadas entre dezembro de 2025 e fevereiro de 2026. Segundo a SentinelOne, duas delas – catalogadas como CVE-2025-59718 (mencionada duas vezes na divulgação original) – permitem que invasores não autenticados obtenham privilégios administrativos por meio da manipulação de tokens SAML. A terceira vulnerabilidade, CVE-2026-24858, foi explorada como zero-day em janeiro de 2026, antes mesmo de existir uma correção pública.
Uma vez que o firewall é comprometido, os atacantes partem imediatamente para a extração dos arquivos de configuração do FortiGate. A partir desses arquivos, conseguem descriptografar credenciais sensíveis de serviços críticos, como LDAP e Active Directory. Com essas senhas em mãos, deixam de depender apenas do firewall e passam a se movimentar lateralmente pela rede interna, aumentando rapidamente o impacto do incidente.
A análise da SentinelOne destaca dois incidentes que ilustram estratégias distintas. No primeiro, o invasor, após conquistar acesso administrativo ao FortiGate, criou uma nova conta de administrador local. Em vez de agir de forma imediata e ruidosa, permaneceu inativo por cerca de dois meses. Esse comportamento é típico de corretores de acesso inicial, que invadem ambientes, consolidam o acesso e depois vendem esse “ativo” para outros grupos especializados em ransomware ou espionagem.
No segundo caso, observado em dezembro de 2025, a tática foi agressiva e de curta duração. Poucos minutos após o comprometimento do firewall, o criminoso acessou múltiplos servidores internos. Em seguida, instalou ferramentas de acesso remoto para manutenção do controle, extraiu o banco de dados completo do Active Directory e iniciou a exfiltração de dados sensíveis. Depois da coleta, ainda tentou apagar informações, em uma provável tentativa de atrapalhar a investigação forense e dificultar a recuperação do ambiente.
Esses episódios demonstram que o FortiGate, muitas vezes tratado apenas como um equipamento de perímetro, acabou se tornando um dos alvos mais valiosos da infraestrutura. Ao controlar o firewall, o invasor consegue enxergar, mapear e alcançar rapidamente serviços internos críticos, ao mesmo tempo em que pode mascarar ou redirecionar tráfego malicioso, tornando a detecção muito mais complexa.
A SentinelOne reforça que a aplicação imediata dos patches disponibilizados pela Fortinet é o passo mais urgente. Organizações que ainda não atualizaram seus appliances correm risco elevado, principalmente porque as vulnerabilidades já são de conhecimento público e estão sendo ativamente exploradas. A demora na atualização aumenta a janela de oportunidade para os atacantes e pode transformar um simples firewall desatualizado em um incidente de grande escala.
Além dos patches, a recomendação é realizar rotação completa das credenciais associadas a LDAP e Active Directory sempre que houver suspeita de comprometimento do FortiGate. Como os arquivos de configuração podem conter senhas armazenadas de forma recuperável, assumir que elas foram expostas é uma postura prudente. Isso inclui contas de serviço, integrações com aplicações legadas e qualquer usuário com privilégios ampliados.
Outra medida essencial é implementar monitoramento rigoroso da criação e alteração de contas administrativas, tanto no próprio FortiGate quanto em servidores internos. Contas de administrador recém-criadas, renomeadas ou com mudanças de privilégios fora de janelas de manutenção devem disparar alertas automáticos. Da mesma forma, falhas de autenticação sucessivas, logins em horários atípicos ou a partir de endereços IP incomuns precisam ser tratados como possíveis sinais de intrusão.
A SentinelOne também recomenda manter logs detalhados por, no mínimo, 14 dias. Contudo, para organizações com maior exposição ou requisitos regulatórios mais rígidos, prazos mais longos são desejáveis. Registros de eventos do firewall, do Active Directory, de servidores críticos e de ferramentas EDR/XDR são fundamentais para reconstruir a linha do tempo de um ataque, identificar o vetor inicial e medir a real extensão do comprometimento.
Do ponto de vista de governança, o cenário reforça a importância de considerar firewalls e appliances de segurança como ativos de altíssimo valor e não apenas “caixas de rede”. Isso significa incluir esses dispositivos em inventários de ativos críticos, submetê-los a testes de intrusão periódicos, auditorias de configuração, verificação de hardening e revisões regulares de regras e perfis de acesso.
Outra boa prática é segmentar ainda mais o acesso administrativo ao FortiGate. Sempre que possível, o painel de gestão deve ser acessível apenas a partir de uma rede administrativa separada, com VPN e autenticação multifator obrigatória. Desabilitar interfaces de gerenciamento expostas diretamente à internet e limitar o acesso a IPs específicos reduz significativamente a superfície explorável pelos atacantes.
Empresas também devem revisar a dependência exclusiva de controles de perímetro. A onda de ataques contra FortiGate expõe a fragilidade de arquiteturas que confiam demais em um único ponto de defesa. Modelos de segurança baseados em Zero Trust, segmentação de rede, políticas de menor privilégio e monitoramento contínuo de comportamento tendem a reduzir o impacto quando um dispositivo de perímetro é comprometido.
Do lado da resposta a incidentes, ter um playbook específico para invasões via firewall é cada vez mais necessário. Esse plano deve incluir, entre outros pontos: isolamento rápido do equipamento afetado, verificação de integridade de firmware e configurações, validação de contas administrativas, redefinição de credenciais expostas, varredura em busca de backdoors e revisão das regras de roteamento e VPN.
Em paralelo, treinamentos periódicos para equipes de redes e segurança ajudam a identificar sinais precoces de comprometimento. Técnicos que operam o FortiGate no dia a dia precisam estar familiarizados com indicadores de ataque, como sessões suspeitas, mudanças não autorizadas em políticas, disparada incomum de logs ou consumo anômalo de recursos.
Por fim, a onda de ataques descrita pela SentinelOne deixa claro que a simples existência de um firewall de marca conhecida não é sinônimo de proteção garantida. Segurança depende de atualização constante, monitoramento ativo, processos bem definidos e postura preventiva. Ignorar alertas de vulnerabilidades críticas, especialmente em dispositivos tão centrais quanto o FortiGate, pode significar abrir a porta da rede corporativa para criminosos em busca de dados, credenciais e, em muitos casos, de oportunidades para ataques de ransomware em larga escala.