Operação automatizada de grupo criminoso de língua russa validou credenciais contra 320 mil dispositivos Fortinet; especialistas alertam que o problema não é a vulnerabilidade, mas a falta de controles básicos como MFA e rotação de senhas Divulgação — Foto: Divulgação Uma campanha cibercriminosa de larga escala batizada de FortiBleed expôs credenciais administrativas e de VPN de pelo menos 80 mil firewalls Fortinet distribuídos por diversos países, atingindo 21.632 domínios corporativos. Os dados foram descobertos pelo pesquisador Volodymyr Diachenko e analisados pela firma de inteligência Hudson Rock, que identificou entre as organizações afetadas empresas como Samsung, Oracle, Foxconn, Siemens e Sony. Segundo os pesquisadores, o conjunto representa aproximadamente metade de todos os dispositivos Fortinet atualmente expostos à internet. O grupo responsável pela operação, identificado como de língua russa e com múltiplos operadores, realizou cerca de 1,16 bilhão de tentativas de autenticação contra 320.777 dispositivos FortiGate. A estratégia baseou-se na interceptação de hashes de autenticação SSL VPN, quebrados por força bruta em um cluster de 45 GPUs gerenciado via plataforma Hashtopolis. As credenciais recuperadas foram utilizadas para movimentação lateral em ambientes de Active Directory das organizações comprometidas. O pesquisador Kevin Beaumont, que verificou pessoalmente credenciais em múltiplas organizações listadas, confirmou que estavam ativas. O caso, no entanto, não deve ser lido apenas como um problema de fabricante. A discussão central gira em torno de uma combinação de fatores que ampliam a superfície de ataque em qualquer ambiente de rede corporativa: interfaces administrativas acessíveis pela internet, usuários antigos ou desnecessários ainda ativos, senhas fracas ou reaproveitadas, ausência de autenticação multifator, equipamentos desatualizados e ausência de monitoramento sobre credenciais vazadas. Quando esses pontos se acumulam, o invasor muitas vezes não precisa explorar uma falha inédita. Ele simplesmente entra usando algo que ainda estava válido. "O FortiBleed é um alerta importante porque mostra que o risco nem sempre está em uma nova vulnerabilidade. Muitas vezes, ele está no básico que deixou de ser revisado: interfaces administrativas abertas para a internet, falta de gestão de identidade, senhas reaproveitadas e ausência de duplo fator de autenticação. Quando esses pontos se acumulam, o atacante entra sem dificuldade e pela porta da frente", afirma Erik de Lopes Morais, COO da Penso Tecnologia. Um aspecto relevante identificado pela Hudson Rock é que parte significativa das credenciais comprometidas envolvia senhas complexas, não senhas simples ou padrão de fábrica. Muitas delas haviam sido expostas em incidentes anteriores e nunca foram rotacionadas. A Fortinet migrou o armazenamento de credenciais de administrador para o formato PBKDF2, mais resistente a ataques de força bruta, em atualizações lançadas no início de 2025. A proteção, porém, só passou a valer para dispositivos em que os administradores realizaram login após a atualização. Equipamentos que não passaram por esse processo mantiveram o formato SHA-256 anterior, tornando os hashes vulneráveis a quebra offline. Firewalls, VPNs e soluções de borda são pontos extremamente sensíveis da infraestrutura corporativa. Uma credencial válida em mãos erradas pode permitir acesso indevido à VPN, alteração de regras de firewall, criação de novos usuários, movimentação lateral na rede e preparação para ataques de maior escala. O ponto mais preocupante é que esse tipo de exposição nem sempre gera alerta evidente. Uma senha antiga ainda válida, um usuário que deveria ter sido removido ou uma interface administrativa aberta à internet podem permanecer invisíveis até o momento em que são explorados. "Segurança em camadas não é conceito abstrato. É o que separa uma exposição controlável de um incidente grave. MFA habilitado, interface administrativa fora da internet e credenciais rotacionadas regularmente teriam neutralizado a maior parte dos casos listados no FortiBleed. O problema recorrente é que essas revisões ficam em segundo plano até que um evento como esse as coloque na pauta", diz Morais. Para organizações que utilizam firewalls e VPNs Fortinet, os especialistas recomendam verificar se a interface administrativa está exposta na internet, se o acesso está restrito por faixa de IP, se existem contas antigas ou de terceiros ainda ativas, se o MFA está habilitado e se as senhas foram trocadas após incidentes anteriores. A ausência de respostas claras a qualquer um desses pontos já representa risco que merece atenção. A Hudson Rock disponibilizou ferramenta gratuita de consulta para que organizações verifiquem se seus domínios aparecem no dataset da campanha. "Nenhuma medida isolada resolve o problema. Atualizar equipamentos é essencial, mas não substitui a troca de credenciais. Senhas fortes ajudam, mas não substituem o MFA. Restringir o acesso administrativo é fundamental, mas precisa vir acompanhado de monitoramento, revisão de logs e validação contínua das configurações. O FortiBleed serve como lembrete de que a segurança real acontece quando essas camadas operam em conjunto, antes que alguém tente entrar", finaliza Erik.