Uma campanha de espionagem cibernética em escala industrial vazou credenciais válidas de acesso a mais de 73 mil firewalls Fortinet espalhados por 194 países. A operação, batizada de FortiBleed, não explora uma falha de software — ela rouba senhas que já funcionam, e a maioria dos dispositivos comprometidos continua online à medida que você lê este texto.

O que é o FortiBleed

FortiBleed é o nome dado à maior campanha de vazamento de credenciais de firewalls já documentada. O pesquisador de segurança Volodymyr “Bob” Diachenko descobriu o servidor dos atacantes exposto acidentalmente na internet, com ferramentas, scripts e logs completos da operação. A empresa de inteligência de ameaças Hudson Rock analisou os dados e confirmou a escala: 73.932 URLs únicas de firewalls FortiGate, atingindo 21.632 domínios corporativos em 194 países.

Segundo dados do Shodan, isso representa aproximadamente metade de todos os firewalls Fortinet expostos na internet. O pesquisador independente Kevin Beaumont verificou pessoalmente as credenciais em múltiplas organizações do dataset e confirmou que são reais e ativas. “Os dados são legítimos. São cerca de 75 mil dispositivos. Quase todos ainda estão online”, afirmou Beaumont em análise publicada após revisar o material.

Como os atacantes operaram

O grupo responsável é descrito como uma operação multi-operador de língua russa. A metodologia combina três vetores distintos de extração de credenciais, executados em paralelo:

Reutilização de credenciais em massa. Os atacantes compilaram senhas de dumps anteriores de vulnerabilidades da Fortinet e de logs de malwares infostealer — programas que extraem silenciosamente credenciais salvas em navegadores e clientes VPN. Em seguida, testaram essas credenciais automaticamente contra todos os dispositivos FortiGate acessíveis. Foram aproximadamente 1,16 bilhão de tentativas de autenticação contra mais de 320 mil alvos FortiGate.

Interceptação e quebra de hashes SSL VPN. Para dispositivos onde a reutilização falhou, os atacantes interceptaram hashes de autenticação SSL VPN durante o handshake de login e quebraram offline usando um cluster dedicado de 45 GPUs gerenciado pelo Hashtopolis, um framework de quebra distribuída de senhas.

Ataque paralelo a servidores MSSQL. Simultaneamente, o grupo executou 2,1 bilhões de tentativas de força bruta contra mais de 163 mil servidores Microsoft SQL Server. FortiGate foi o vetor primário de acesso inicial, mas a operação é bem mais ampla.

Senha forte não protege

Um dos achados mais perturbadores do FortiBleed é que a complexidade da senha ofereceu proteção zero. Uma quantidade significativa de senhas altamente complexas — com mais de 20 caracteres, incluindo caracteres especiais — foi comprometida não por quebra de hash, mas porque já existia em texto puro em bancos de dados coletados por infostealers.

Quando as credenciais são roubadas no endpoint antes de qualquer criptografia ser aplicada, nenhuma política de senha forte resolve o problema. Segundo a CybelAngel, isso “mina fundamentalmente a política de ‘senha forte’ como estratégia de defesa de perímetro”.

Quem foi atingido

A lista de organizações identificadas no dataset inclui alguns dos maiores nomes da economia global. Empresas como Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture, Comcast e Chevron tiveram credenciais expostas. Governos e operadores de infraestrutura crítica também aparecem nos registros.

Diachenko confirmou comprometimentos totais de redes em organizações no Japão, Taiwan, Vietnã, Iraque e Turquia. O caso mais grave identificado até agora é o de um contratante de defesa da OTAN na Turquia, de onde documentos classificados foram supostamente exfiltrados.

Os países com mais dispositivos afetados incluem Índia, Estados Unidos, Taiwan, México, Turquia, Tailândia, Colômbia, Malásia, Chile e Emirados Árabes. Setores como telecomunicações, serviços de TI, serviços financeiros, governo, saúde e manufatura concentram a maior parte dos alvos.

Origem dos dados é incerta

Um aspecto peculiar do vazamento é que o mecanismo exato de extração ainda é desconhecido. Nem Diachenko, Hudson Rock nem Beaumont identificaram como os dados de configuração foram originalmente obtidos. Beaumont observou que os dados parecem ter se originado de exportações de configurações do Fortinet porque contêm informações — incluindo endereços de e-mail — acessíveis apenas por meio dessas configurações.

Os endereços IP afetados são diferentes daqueles do vazamento do Belsen Group em 2025, o que indica que este é um conjunto mais recente e maior de dispositivos comprometidos. A possibilidade de um novo mecanismo de extração não descoberto está sendo investigada pela comunidade de segurança. Para contexto, a Fortinet já corrigiu diversas vulnerabilidades críticas este ano, mas o FortiBleed mostra que patches por si só não impedem campanhas de credenciais em larga escala.

O que fazer agora

Organizações que utilizam dispositivos Fortinet precisam agir imediatamente. Não existe um patch para aplicar — este não é um CVE. As medidas recomendadas por especialistas incluem:

  1. Rotacionar todas as credenciais. Redefinir senhas de VPN Fortinet e interfaces administrativas sem demora. Complexidade é irrelevante se as credenciais já foram vazadas.
  2. Ativar MFA universal. Impor autenticação multifator em todos os gateways externos para neutralizar credenciais roubadas em texto puro.
  3. Auditar logs do gateway. Revisar logs de acesso do Fortinet buscando logins anômalos, sessões administrativas inesperadas ou volumes de tráfego fora do padrão.
  4. Restringir exposição da interface de gerenciamento. Aplicar políticas local-in para limitar o acesso do painel administrativo a IPs internos confiáveis. Desativar o FortiCloud SSO se não for essencial.
  5. Monitorar credenciais vazadas. A Hudson Rock disponibilizou uma ferramenta gratuita de consulta para verificar se a organização aparece no dataset do FortiBleed.

A comunidade de segurança alerta que apenas aplicar um patch não é suficiente quando o atacante já tem credenciais válidas. A investigação de comprometimento prévio é tão importante quanto a correção em si. O catálogo de vulnerabilidades exploradas da CISA (KEV) segue sendo a referência para priorização de correções.

Risco para organizações brasileiras

O Brasil é um dos maiores mercados de soluções Fortinet na América Latina. Firewalls FortiGate são amplamente utilizados por bancos, operadoras de telecomunicações, órgãos governamentais e empresas de manufatura no país. Embora o Brasil não figure entre os países com o maior número de dispositivos afetados, a presença da Colômbia e do Chile na lista dos mais atingidos indica que a América Latina foi alvo direto da campanha.

Organizações brasileiras que utilizam FortiGate com interfaces expostas à internet devem tratar o FortiBleed como uma ameaça ativa e imediata. A combinação de credenciais válidas com acesso a gateways VPN cria um caminho direto para movimentação lateral dentro de redes corporativas — exatamente o padrão observado em ataques a ransomware que cresceram 48% no último ano — falhas em soluções de VPN corporativa continuam sendo o vetor mais explorado, segundo dados da Check Point Research.

Referências