Campanha FortiBleed revela falhas de segurança em 73 mil firewalls e alerta sobre vulnerabilidades

Uma grande campanha cibernética, chamada FortiBleed, revelou credenciais de 73 mil firewalls Fortinet, impactando empresas globais. Especialistas alertam sobre a importância da segurança em camadas e da revisão constante de práticas de segurança em redes corporativas.

Uma massiva campanha de cibercrime, conhecida como FortiBleed, expôs credenciais administrativas e de VPN de cerca de 73 mil firewalls da Fortinet, afetando mais de 21 mil domínios corporativos em todo o mundo. A descoberta foi realizada pelo pesquisador Volodymyr Diachenko e analisada pela empresa de inteligência Hudson Rock, que identificou grandes corporações entre as vítimas, como Samsung, Oracle, Foxconn, Siemens e Sony. Esse cenário representa cerca de 50% de todos os dispositivos Fortinet acessíveis na internet atualmente.

As Táticas do Ataque

O grupo responsável pela campanha, que fala russo e conta com múltiplos operadores, realizou impressionantes 1,16 bilhão de tentativas de autenticação em 320.777 dispositivos FortiGate. A técnica utilizada envolveu a interceptação de hashes de autenticação SSL VPN, que foram quebrados por força bruta usando um cluster de 45 GPUs através da plataforma Hashtopolis. As credenciais obtidas permitiram a movimentação lateral em redes de Active Directory das empresas afetadas.

Fatores de Risco e Segurança Básica

O incidente não deve ser visto apenas como uma falha de um fabricante. A discussão gira em torno de uma série de fatores que ampliam a vulnerabilidade nas redes corporativas: interfaces administrativas abertas à internet, senhas fracas, usuários não removidos, falta de autenticação multifatorial e ausência de monitoramento de credenciais vazadas. Quando essas condições se acumulam, os invasores podem acessar facilmente as redes sem a necessidade de explorar novas falhas.

Importância da Vigilância e Atualização

Erik de Lopes Morais, COO da Penso Tecnologia, destaca que o FortiBleed serve como um alerta significativo. Ele ressalta que o risco não está apenas em novas vulnerabilidades, mas frequentemente nas práticas básicas que não são revisadas. A falta de gestão de identidade, senhas reutilizadas e interfaces administrativas expostas são pontos críticos que podem facilitar a entrada de um atacante.

Senhas Comprometidas e Atualizações Necessárias

Um dado alarmante é que muitas das credenciais comprometidas envolviam senhas complexas, não simples ou padrões de fábrica, que estavam expostas em incidentes passados e nunca foram trocadas. A Fortinet implementou mudanças no armazenamento de credenciais para o formato PBKDF2 em 2025, mais resistente a ataques, mas essa atualização só vale para dispositivos que foram acessados após a implementação.

Recomendações para Empresas

Especialistas recomendam que as organizações que utilizam firewalls e VPNs da Fortinet realizem uma verificação de segurança. Isso inclui checar se a interface administrativa está exposta na internet, se as contas antigas ainda estão ativas, se a autenticação multifatorial está habilitada e se as senhas foram trocadas após incidentes anteriores. A Hudson Rock disponibiliza uma ferramenta gratuita para que as empresas verifiquem se seus domínios constam na lista da campanha FortiBleed.