FortiBleed: o que está acontecendo com as organizações afetadas

23 de junho de 2026

Resumo

Um atacante vasculhou caixas FortiGate expostas na internet e entrou por vulnerabilidades já conhecidas, ainda sem correção, ou por contas de administrador backdoor adormecidas, em alguns casos plantadas antes por uma quadrilha russa de ransomware que reutilizava senhas idênticas. Depois, exportou as configurações completas dos dispositivos, quebrou os hashes offline em 36 GPUs corporativas alugadas e revendeu o texto puro como credenciais de cliente FortiVPN.

Cerca de mil organizações foram confirmadas internamente como comprometidas, com os operadores adicionando contas de administrador fraudulentas, abrindo regras de firewall para SSH e RDP e autenticando em túneis IPsec, enquanto concentravam a ação em teles e MSPs para avançar para redes downstream. A defesa pede filtro nos logs do FortiOS em System, Events para mensagens de exportação de configuração, comparação dos IPs expostos na internet e dos domínios Fortiguard-ID com as listas publicadas do FortiBleed e, se houver correspondência, reconstrução do equipamento, remoção e recriação de todas as contas de administrador com MFA, atualização para o firmware atual e rotação das chaves site-to-site de IPsec nos dois lados.

Aprofundamento CEVIU

Aprofundamento

O ataque FortiBleed não foi um simples vazamento de credenciais, mas uma operação de escalonamento sistemático baseada em falhas persistentes: dispositivos expostos sem patch, contas de administrador esquecidas e senhas reutilizadas por grupos de ransomware anteriores. O atacante usou GPUs alugadas em larga escala para quebrar hashes de senhas em minutos, algo que antes exigiria meses de processamento local. A chave foi a exportação automática de configurações, que expôs credenciais criptografadas, chaves IPsec e regras de firewall. Essas configurações são o mapa-múndi da rede: contêm credenciais de usuários, endereços internos, certificados e até conexões com Active Directory. Sem MFA, esses arquivos viram chaves mestras.

Ao focar em provedores de telecomunicações e MSPs, o atacante transformou um único dispositivo comprometido em porta de entrada para dezenas de redes downstream. Isso não é invasão aleatória: é um modelo de ataque em cadeia, onde a fraqueza de um parceiro se torna a brecha de toda a cadeia de suprimentos. A defesa não pode depender só de atualizações de firmware. É preciso auditar contas de administrador, vigiar logs de exportação de configuração e tratar chaves IPsec como segredos de alta criticidade, não como configurações estáticas.

Por que isso importa

Este ataque mostra que a segurança de redes corporativas ainda depende de dispositivos antigos, mal configurados e sem autenticação multifator, mesmo em 2026. A indústria gasta bilhões em IA e detecção de ameaças avançadas, mas esquece que a maior parte dos incidentes começa com uma senha em texto puro em um arquivo de configuração. A Fortinet não pode mais tratar esses vazamentos como eventos isolados. A empresa precisa de telemetria ativa para detectar exportações em massa e alertar clientes em tempo real. Empresas que usam FortiGate como gateway de VPN precisam agir como se já estivessem comprometidas: reconstruir, recriar contas, rotacionar chaves e exigir MFA. Não há mais espaço para 'vamos atualizar depois'.

Linha do tempo

2026-06-23
Ataque FortiBleed expõe mil organizações por exportação de configuração e quebra de hashes em GPUs alugadas, com foco em MSPs e telecomunicações.

Perguntas frequentes

Como saber se meu FortiGate foi afetado pelo FortiBleed?

Verifique se seu IP público aparece na lista de dispositivos comprometidos divulgada por pesquisadores independentes. Também compare seu ID Fortiguard, encontrado nas configurações do dispositivo, com a lista de domínios afetados. Se houver correspondência, o dispositivo foi alvo de exportação de configuração. Procure no log do FortiOS por mensagens de 'config exported' com usuários suspeitos ou IPs desconhecidos.

Por que a exportação de configuração é tão perigosa?

O arquivo de configuração do FortiGate contém todas as credenciais de usuários, chaves de criptografia IPsec, regras de firewall, certificados e até conexões com servidores internos. Quando exportado, ele vira um mapa completo da rede. Senhas armazenadas em hash podem ser quebradas em minutos com GPUs alugadas. Isso permite acesso direto a redes privadas, sem precisar de falhas de software ou senhas fortes.

O que fazer se meu dispositivo já foi comprometido?

Desconecte-o da internet imediatamente. Reinstale o firmware do zero, sem restaurar configurações antigas. Remova todas as contas de administrador e crie novas com MFA obrigatório. Revise todas as regras de firewall e remova qualquer regra que permita SSH, RDP ou acesso externo não autorizado. Rotacione as chaves IPsec em ambos os lados da conexão. Nunca confie em uma configuração que já foi exportada.

Por que MSPs e operadoras de telecomunicações são alvos prioritários?

Eles gerenciam centenas ou milhares de dispositivos FortiGate para clientes finais. Um único dispositivo comprometido em um MSP pode abrir acesso a dezenas de redes corporativas. O atacante usa esses pontos como trampolim para avançar lateralmente, acessando Active Directory e sistemas críticos de clientes. É o modelo clássico de ataque em cadeia de suprimentos, e é muito mais eficiente do que invadir empresas individualmente.

Fontes

doublepulsar.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 23 de junho de 2026
Editoria: CEVIU Segurança da Informação