FortiBleed: vazamento expõe credenciais de VPN da Fortinet em 73 mil dispositivos

O FortiBleed não é um vazamento de credenciais por falha zero-day, é o colapso sistêmico de três camadas de defesa: configuração padrão insegura, atualização incompleta e exposição acidental da interface de gerenciamento. Os dados vieram de arquivos de configuração exportados, não de memória ou tráfego em tempo real. Isso confirma que atacantes acessaram dispositivos via credenciais válidas (força bruta ou reutilização) ou exploração prévia, e depois extraíram os arquivos config.cfg, onde Fortinet ainda armazena senhas de administrador em hash SHA-256 se o login pós-atualização não foi feito. A proteção PBKDF2, introduzida no FortiOS 7.4.3 (janeiro/2025), só entra em vigor *após o primeiro login do admin* após a atualização, e 75% dos dispositivos afetados nunca fizeram esse passo.

A coleta cruzada com SQL Server mostra que os mesmos operadores usam o FortiBleed como porta de entrada para infiltração profunda: após comprometer a VPN, escaneiam redes internas, derrubam bancos com credenciais reutilizadas e injetam payloads no Active Directory. É o mesmo padrão observado no vazamento da LAPD (abril/2026) e na exploração do FortiClient EMS (junho/2026), mas em escala industrial, 1,16 bilhão de tentativas contra FortiGate, 2,1 bilhões contra SQL Server, e 86.644 dispositivos mapeados com credenciais verificáveis.

Em abril/2026, o CEVIU reportou o vazamento de senhas fracas de autoridades húngaras ligadas à OTAN, mas eram credenciais antigas, reutilizadas, sem contexto técnico de extração. Agora, o FortiBleed mostra o *mecanismo concreto*: exportação de configurações + quebra offline de hashes SHA-256 + movimento lateral via AD. Também evoluiu o padrão de exploração: o ataque ao FortiClient EMS (6/2026) era pontual e dependia de CVE; o FortiBleed é massivo, não depende de vulnerabilidade nova, e explora a inércia operacional, dispositivos atualizados, mas com senhas não re-hashed.

FortiGate é o firewall mais usado por empresas críticas no Brasil: bancos, operadoras e órgãos públicos dependem dele para segmentar redes e proteger acesso remoto. Se 75 mil dispositivos estão online com credenciais expostas, e metade deles tem a interface de gerenciamento acessível pela internet, qualquer organização com Fortinet pode ter sua rede invadida em minutos, sem precisar de zero-day. O risco não está no produto, mas na falsa sensação de segurança gerada por 'atualizar e esquecer'. O FortiBleed prova que hardening contínuo é obrigatório: MFA não negociável, gestão de credenciais centralizada e bloqueio estrito da interface de administração para IPs confiáveis.