Mitigando ataques massivos de credenciais

23 de junho de 2026

Resumo

FortiBleed é uma campanha em larga escala de password spraying e roubo de credenciais que mira serviços Fortinet, Sophos e MSSQL expostos na internet. A cadeia usada pelo ataque combina spraying em múltiplas etapas, escalada de privilégios, extração de configurações com credenciais armazenadas e cracking offline, alimentando a próxima rodada. Um IAB no Exploit[.]in reivindica a operação e vende as credenciais coletadas em 16 de junho, mas a informação não foi validada. Defensores devem auditar logs de acesso remoto em busca de logins bem-sucedidos após eventos de muitas falhas, exigir MFA, adotar ZTNA com jump boxes para manter interfaces de gestão fora da internet pública, rotacionar credenciais padrão, desabilitar contas não usadas e corrigir falhas locais de escalada de privilégios.

Aprofundamento CEVIU

Aprofundamento

O FortiBleed não é um novo ataque isolado, é a fase operacional madura de uma cadeia de exploração que já vinha sendo construída desde fevereiro. A campanha agora opera em ciclo fechado: spraying → extração de configurações com credenciais armazenadas → cracking offline → reinjeção na lista de senhas. Isso explica por que, em 19 de junho, foram encontrados 74 mil conjuntos de credenciais de VPN expostos em um servidor comprometido: não são apenas senhas roubadas, mas o *produto bruto* da etapa de extração e cracking, pronto para ser reutilizado em novas rodadas.

A escalada de privilégios local citada no relatório da Unit 42 tem raiz direta na CVE-2026-35616, explorada desde 1º de junho no FortiClient EMS, uma falha que permite manipular configurações sem autenticação e injetar comandos via fortitray.exe. Ela serve como porta de entrada para extrair credenciais armazenadas em arquivos de configuração, mesmo quando o acesso inicial é limitado. O IAB do Exploit[.]in não está vendendo 'acesso', mas sim o *resultado processado*: credenciais decifradas, domínios identificados, permissões mapeadas, dados prontos para pivô em redes corporativas.

O que mudou

Em fevereiro, o ator usava IA generativa para escalar ataques manuais contra 600 FortiGate. Em abril, a Operação Storming Tide já mostrava coordenação entre grupos e uso de múltiplas técnicas de intrusão em perímetro. Em 1º de junho, a exploração da CVE-2026-35616 permitiu automação massiva de extração. Agora, em 22 de junho, o FortiBleed opera como infraestrutura autônoma: o próprio ciclo de cracking alimenta o spraying, e os logs de sucesso após falhas em massa deixaram de ser sinal de tentativa, viraram indicador de comprometimento confirmado. O que era tático virou operacional.

Por que isso importa

Essa campanha ignora a ideia de 'ataque pontual'. Ela transforma cada dispositivo exposto em fonte contínua de credenciais válidas, e cada credencial válida vira vetor para mais dispositivos. O risco não está só no FortiGate ou no MSSQL exposto; está na rede interna que esses acessos admin permitem alcançar. Empresas que adotaram ZTNA com jump boxes estão protegidas não porque bloqueiam o ataque, mas porque removem o alvo: sem interface de gestão na internet, não há onde aplicar o spraying. A exigência de MFA não é uma camada extra, é o único obstáculo que impede a conversão de uma senha roubada em acesso administrativo real.

Linha do tempo

2026-02-23
Ator de ameaça russo usa IA generativa para comprometer 600 dispositivos FortiGate
2026-04-04
Operação Storming Tide mostra coordenação entre grupos e ataques multi-estágio em perímetro
2026-06-01
Exploração ativa da CVE-2026-35616 no FortiClient EMS para extração de credenciais
2026-06-19
Descoberta de servidor com 74 mil credenciais de VPN Fortinet expostas
2026-06-19
Confirmação de 30.791 credenciais válidas comprometidas em firewalls Fortinet
2026-06-22
Unit 42 divulga detalhes técnicos da campanha FortiBleed e recomendações de mitigação

Perguntas frequentes

O FortiBleed afeta apenas dispositivos Fortinet?

Não. Embora tenha começado com Fortinet, a campanha agora mira também Sophos e MSSQL expostos. O padrão é o mesmo: serviços com autenticação web expostos à internet, credenciais padrão ou fracas, e falta de MFA. A cadeia de ataque se adapta ao alvo, não depende de uma única plataforma.

Por que auditar logs de login após falhas em massa é crítico?

O FortiBleed usa 'spraying em ondas': centenas de tentativas com senhas comuns seguidas de um login bem-sucedido com uma credencial já roubada e crackeada. Um único sucesso logo após um pico de falhas não é acaso, é quase certeza de que o atacante já tinha aquela senha antes de tentar. É o sinal mais confiável de comprometimento inicial.

MFA resolve o problema completamente?

Resolve o risco de uso de credenciais roubadas, mas só se for implementado em *todos* os pontos de acesso administrativo, incluindo interfaces de gestão de firewall, consoles de base de dados e ferramentas de monitoramento. Se o MFA estiver ausente em qualquer uma dessas, o atacante pode usar a credencial roubada lá para obter acesso interno e depois pivotar.

O que significa 'rotacionar credenciais padrão' na prática?

Significa trocar não só senhas de contas como 'admin' ou 'root', mas também credenciais embutidas em scripts de backup, integrações de SIEM, APIs de gerenciamento e até em arquivos de configuração exportados. O FortiBleed extrai exatamente esses arquivos, e neles estão senhas em texto claro ou cifradas com chaves fracas, prontas para serem quebradas offline.

Links relacionados

Fontes

unit42.paloaltonetworks.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 23 de junho de 2026
Editoria: CEVIU Segurança da Informação