FortiBleed expõe 86 mil credenciais válidas de dispositivos Fortinet

O FortiBleed não é um novo exploit ou vulnerabilidade zero-day, é uma campanha de exploração sistemática de configurações inseguras e senhas fracas em dispositivos Fortinet já expostos à internet. Os invasores não exploraram falhas no firmware, mas interceptaram tráfego de autenticação SSL VPN (via man-in-the-middle ou logs mal protegidos), extraíram hashes de senha armazenados com algoritmos fracos, muitos ainda usando MD5 ou SHA-1 em vez de PBKDF2, e quebraram-nos com força bruta massiva em cluster de 45 GPUs. Isso revela uma falha crítica de gestão de identidade: mais da metade dos firewalls Fortinet acessíveis publicamente ainda usam credenciais padrão, reutilizadas ou nunca rotacionadas desde incidentes anteriores.

O ataque segue a mesma assinatura operacional do ator russo identificado em fevereiro de 2026, que já usava IA generativa para gerar payloads e mensagens de phishing personalizadas contra FortiGate. Agora, a escala explodiu: de 600 dispositivos comprometidos em 55 países para 86 mil credenciais válidas em 194 países. A evolução está na automação do ciclo completo, captura de credencial, cracking em larga escala, pivot para Active Directory e exfiltração via MSSQL, tudo orquestrado por scripts integrados ao Hashtopolis e sem intervenção manual contínua.

Em 19 de junho, o CEVIU relatou duas versões concorrentes do FortiBleed: uma com 30.791 credenciais confirmadas e outra com 73 mil expostas em um servidor comprometido. Em 22 de junho, a cifra consolidada subiu para 86.644 credenciais verificadas, um aumento de quase 190% em três dias. O que era rumor ou dado parcial virou base operacional comprovada: SOCRadar agora confirma que 50% de todos os FortiGate expostos na internet estão representados nessa lista. Além disso, a ligação com o ator russo foi reforçada, não mais como suspeita, mas como conclusão de análise forense conjunta entre Hudson Rock e Kevin Beaumont, que validaram a recência das credenciais e a persistência do mesmo TTP (Tactics, Techniques and Procedures) desde fevereiro.

Organizações brasileiras estão diretamente expostas: Shodan registra mais de 1.200 FortiGate com interface de administração acessível no Brasil, e pelo menos 17 delas já aparecem em listas de IPs associados ao FortiBleed. Não se trata de risco teórico, é acesso real a redes corporativas, governamentais e de infraestrutura crítica. Um único login válido de administrador FortiGate permite desabilitar logs, desativar MFA, criar backdoors de SSH ou redirecionar todo o tráfego de VPN para servidores controlados pelo atacante. A CISA não está pedindo 'atenção': está exigindo reset imediato de sessões ativas, rotação forçada de senhas com PBKDF2 e bloqueio estrito do acesso de gerência por IP, medidas que muitas equipes de TI ainda deixam de aplicar por considerá-las 'operacionalmente inconvenientes'.