FortiBleed expõe 75.000 firewalls da Fortinet

19/06/2026 mindsecblog Notícias 0

FortiBleed expõe 75.000 firewalls da Fortinet, veja o que os principais canais de notícias de Segurança dizem e orientam.

Pesquisadores afirmam que agentes maliciosos coletaram credenciais do FortiGate em larga escala, expondo organizações em 194 países a possíveis comprometimentos de rede a longo prazo.

Uma campanha massiva de comprometimento de credenciais, apelidada de “Fortibleed”. Pesquisadores estimam que aproximadamente 50% de todos os dispositivos FortiGate acessíveis pela internet podem ter sido afetados em 194 países, tornando este um dos incidentes de segurança mais significativos da Fortinet até o momento. 

Segundo informações públicas, os dados vazados incluem credenciais de VPN e informações de configuração de firewall de implantações da Fortinet e do FortiGate em todo o mundo. As informações expostas podem permitir que agentes maliciosos obtenham acesso não autorizado aos ambientes afetados, abusem de credenciais legítimas e coletem informações sobre arquiteturas de rede internas para apoiar ataques subsequentes.

Até o momento, o incidente não parece estar associado a uma vulnerabilidade recém-divulgada. Em vez disso, os pesquisadores acreditam que o conjunto de dados pode ter se originado de comprometimentos históricos de dispositivos Fortinet, potencialmente envolvendo vulnerabilidades já exploradas. Independentemente da origem, as organizações devem tratar quaisquer credenciais potencialmente expostas como comprometidas e tomar medidas imediatas para avaliar o risco e remediar as contas afetadas.

A campanha foi inicialmente identificada pelo pesquisador de segurança Volodymyr Diachenko, que publicou no LinkedIn sobre a descoberta de uma lista controlada por invasores contendo senhas potencialmente funcionais do FortiGate, coletadas “por diversos meios”.
Mais detalhes foram divulgados pela SOCRadar depois que sua equipe descobriu, de forma independente, um servidor operacional pertencente a um agente de ameaças não identificado, que continha uma lista de senhas roubadas do FortiGate, ferramentas, infraestrutura de automação, lista de vítimas e algumas informações reveladoras sobre quem poderia estar por trás do ataque.

“A atribuição ainda está em andamento, mas as evidências operacionais são claras”, disseram os pesquisadores do SOCRadar em uma postagem no blog , acrescentando que as ferramentas e as escolhas de alvos são consistentes com agentes de ameaças de língua russa.
De acordo com análises independentes, incluindo as da SOCRadar, Hudson Rock e do pesquisador de segurança Kevin Beaumont, os agentes de ameaças coletaram sistematicamente arquivos de configuração de firewalls Fortinet FortiGate expostos à internet e os utilizaram para recuperar credenciais de administrador válidas. O vetor de acesso inicial ainda é desconhecido.
O CEO da watchTowr, Benjamin Harris, afirmou que a campanha está em consonância com o que ele tem observado ultimamente. “A realidade incômoda é que a exploração moderna nem sempre visa o impacto imediato”, disse ele. “Trata-se de coletar dados que mantêm seu valor muito tempo depois que a vulnerabilidade subjacente for corrigida.”
Ele acrescentou que essas credenciais provavelmente foram acumuladas ao longo do tempo explorando diversas vulnerabilidades que afetam aplicativos sensíveis da Fortinet voltados para o público externo.

 

Senhas quebradas, alcance global

Embora a SOCRadar tenha relatado inicialmente que o conjunto de dados continha credenciais de login válidas para mais de 30.791 dispositivos, análises posteriores da Beaumont, em conjunto com a Hudson Rock , estimaram o número de dispositivos afetados em 75.000, cerca de 50% do total de firewalls Fortinet voltados para a internet encontrados no Shodan.

Os pesquisadores encontraram dispositivos afetados em 194 países, abrangendo mais de 21.000 domínios.

O conjunto de dados supostamente contém uma mistura de credenciais administrativas e de VPN SSL recuperadas de arquivos de configuração comprometidos. Os pesquisadores afirmaram que a operação é altamente automatizada, permitindo que agentes maliciosos coletem, processem e quebrem material de credenciais em larga escala.
A SOCRadar identificou a Índia, os EUA e o México como os principais países afetados, com pouco menos de 12.000 credenciais comprometidas entre eles. Uma análise por tipo de credencial revelou que as credenciais específicas de organizações foram as mais visadas, indicando um direcionamento a empresas.

Ao explicar o impacto potencial, Beaumont disse que os agentes maliciosos “podem fazer login remotamente e obter acesso remoto ao firewall — e, portanto, à rede”. Eles também podem alterar configurações, incluindo controles de segurança, e criar backdoors para os usuários, acrescentou.
 

Hashes antigos, problemas novos

Investigações adicionais sobre a campanha revelaram por que algumas implementações da Fortinet se mostraram mais fáceis de invadir do que outras.
Os pesquisadores observaram que muitos sistemas afetados armazenavam credenciais de administrador usando abordagens de hash mais antigas, que eram significativamente menos resistentes a ataques de quebra de senha offline do que implementações mais recentes.

“A Fortinet introduziu o hash de senhas baseado em PBKDF2 para credenciais de administrador no FortiOS 7.2.11, 7.4.8 e 7.6.1, substituindo o mecanismo de armazenamento legado baseado em SHA-256”, explicaram os pesquisadores da Arctic Wolf em uma postagem no blog . “No entanto, ao atualizar de versões anteriores, as senhas de administrador existentes permanecem armazenadas como hashes SHA-256 até que o administrador correspondente faça login com sucesso após a atualização.”
Eles observaram que isso pode estar levando muitas organizações a continuarem armazenando credenciais de administrador usando mecanismos de hash SHA -256 com Salt mais antigos.

A CISA recomenda o reforço da segurança dos dispositivos Fortinet 

A CISA emitiu um alerta urgente, avisando as organizações para protegerem seus dispositivos Fortinet, após relatos de uma campanha de exposição de credenciais em larga escala conhecida como “ FortiBleed ”.

Muitos dos dispositivos afetados eram acessíveis diretamente pela internet, o que os tornava alvos valiosos para atacantes que buscavam acesso inicial.

O principal risco decorre do fato de os atacantes utilizarem credenciais válidas, mas comprometidas, para contornar os controles de segurança tradicionais.

Uma vez dentro do sistema, os agentes maliciosos podem escalar privilégios, mover-se lateralmente pelas redes e, potencialmente, implantar malware ou exfiltrar dados confidenciais.

Em resposta, a CISA recomendou veementemente que as organizações que utilizam produtos da Fortinet afetados, que possuem dispositivos FortiGate e gateways VPN SSL (Secure Sockets Layer) associados, tomem as seguintes providências imediatamente:

  1. Encerre as sessões e redefina as credenciais. Encerre todas as sessões ativas de VPN SSL e administrativas. Redefina todas as senhas de VPN e administrativas da Fortinet, especialmente em sistemas voltados para a internet, e implemente políticas de senhas fortes.
  2. Garanta o armazenamento seguro de credenciais. Confirme se sua organização utiliza o algoritmo Password-Based Key Derivation Function 2 (PBKDF2) para armazenar credenciais de administrador e remova hashes legados mais fracos, conforme as orientações da Fortinet (consulte a Dica Técnica da Fortinet: Impondo PBKDF2 como função hash para contas de administrador no FortiOS v7.2.11 e posterior ).  
  3. Analise os registros. Analise os registros do firewall, VPN, autenticação e controlador de domínio em busca de movimentação lateral, acessos incomuns, contas suspeitas ou alterações de configuração não autorizadas.
  4. Habilite a autenticação multifator (MFA) resistente a phishing. Exija MFA resistente a phishing em todas as contas de acesso remoto e administrativas e assegure-se de que ela seja aplicada em todos os gateways externos e interfaces administrativas.
  5. Reduza a superfície de ataque e restrinja o acesso de gerenciamento. Garanta que a administração do seu firewall seja inacessível pela internet pública; limite as interfaces de gerenciamento do Fortinet a redes internas confiáveis; e remova ou desative quaisquer contas não autorizadas ou desnecessárias.

A campanha FortiBleed destaca o crescente risco de ataques baseados em credenciais, especialmente porque os agentes maliciosos dependem cada vez mais de dados de login roubados em vez de explorar vulnerabilidades de software.

Embora nenhuma vulnerabilidade CVE específica tenha sido diretamente associada a esta campanha, a escala e o impacto da exposição demonstram como configurações incorretas e vazamentos de credenciais podem criar lacunas de segurança significativas.

Fonte: CSOOnline & Bitsight & CyberSecurityNews & CISA & Infostealers

Clique e fale com representante oficial Netwrix Endpoint Protector

Veja também:

 
About mindsecblog 3617 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Artigos

A LGPD e o mito do advogado que entende de dados

18/11/2020 mindsecblog Artigos, Notícias 2

A LGPD e o mito do advogado que entende de dados. Advogados não superam questões técnicas de segurança da informação e os CISOs não solucionam questões legais.  Para Adriano Mendes, advogado especialista e DPO, CISOs […]

Notícias

WhatsApp expõe brechas que atigem empresas

02/02/2026 mindsecblog Notícias 0

WhatsApp expõe brechas que atigem empresas. WhatsApp é a principal infraestrutura de negócios do país e expõe brechas que atingem empresas de todos os portes Uso massivo, bloqueios em alta e avanço das fraudes mostram […]

Notícias

iFood: nomes e CPFs de 1,2 milhão de clientes vazados

03/06/2026 mindsecblog Notícias 5

iFood: nomes e CPFs de 1,2 milhão de clientes vazados Vazamento no iFood acende alerta para golpes com dados cadastrais O iFood confirmou, nesta quarta-feira (3/6), um incidente de segurança que afetou 2% de sua […]

Be the first to comment

Deixe sua opinião!