FortiBleed: campanha automatizada compromete mais de 30 mil dispositivos Fortinet em 194 países

A FortiBleed não é uma nova exploração de falha, é o colapso sistêmico da higiene de senhas em escala global. Os 30.791 credenciais válidas não vieram de um zero-day, mas de vazamentos anteriores (como os do Fortinet 2023 e 2024), reutilizados contra dispositivos que nunca trocaram senhas padrão, mantiveram contas 'admin' ativas ou deixaram interfaces de gerenciamento expostas sem MFA. O dado mais alarmante da pesquisa recente: há cerca de 75.000 firewalls FortiGate expostos à internet com credenciais fracas ou reutilizadas, quase metade do universo total desses equipamentos acessíveis online.

O que torna a operação letal é sua arquitetura autossustentável: cada firewall comprometido vira um proxy de captura de tráfego, roubando novas credenciais em tempo real (LDAP, RDP, SMTP, HTTP basic auth) e injetando-as imediatamente no scanner central. Isso não é credential stuffing pontual, é um ciclo fechado de infecção contínua, alimentado por máquinas já dentro da rede perimetral. E, ao contrário de campanhas como Storming Tide ou Forest Blizzard, que usam exploits ou firmware malicioso, a FortiBleed opera inteiramente no nível de aplicação, sem tocar no sistema operacional do FortiOS.

Em abril, a CEVIU reportou a Storming Tide, uma campanha multi-estágio com uso de ransomware e backdoors em dispositivos de perímetro. Já a FortiBleed, revelada em junho, elimina completamente a necessidade de exploração técnica: troca exploits por credenciais vazadas, e troca persistência via malware por persistência via sessão ativa. Não há payload instalado, não há arquivo escrito no disco. A ‘invasão’ é feita com login válido, seguido por configuração legítima do próprio FortiOS para redirecionar tráfego. É o mesmo modus operandi dos ataques contra autoridades húngaras em abril, mas agora escalado para infraestrutura crítica com automação industrial.

Firewalls FortiGate não são apenas portões, são pontos de inspeção profunda (SSL/TLS decryption), controle de acesso a sistemas OT/IT e, em muitos casos, servidores de autenticação interna. Um único dispositivo comprometido pode entregar credenciais de domínio inteiro, logs de VPN de funcionários, certificados TLS privados e até chaves de assinatura de firmware. A SOCRadar já identificou credenciais de um endpoint de VPN da indústria de defesa, isso não é roubo de dados corporativos. É reconhecimento tático para futuros ataques direcionados. Ignorar a FortiBleed é assumir que seu perímetro já está sob observação contínua.