18 de junho de 2026

FortiBleed: credenciais de admin de 75 mil firewalls Fortinet vazam em campanha que mira metade dos FortiGate expostos à internet

18 de junho de 2026

Dataset com senhas em texto claro de 73.932 FortiGates em 194 paises circula em foruns criminosos. Grupo de lingua russa rodou 1,16 bilhao de tentativas contra alvos Fortinet e 2,1 bilhoes contra MS SQL Server, com cluster de 45 GPUs quebrando hashes SHA-256.

image-48

Um servidor exposto na internet revelou senhas em texto claro de administradores de 73.932 firewalls Fortinet em 194 países, abrangendo aproximadamente metade de todos os FortiGate acessíveis publicamente no planeta, segundo análise conjunta dos pesquisadores Bob Diachenko, Kevin Beaumont e da Hudson Rock. O incidente, batizado de FortiBleed, é atribuído a um grupo de língua russa que rodou 1,16 bilhão de tentativas de credenciais contra 320.777 alvos FortiGate e outras 2,1 bilhões contra 163.650 servidores Microsoft SQL Server, usando um cluster de 45 GPUs gerenciado por Hashtopolis para quebrar hashes SSL VPN interceptados.

O que aconteceu

O caso começou quando o pesquisador Bob Diachenko encontrou um servidor sem autenticação contendo o que parecia ser credenciais válidas de VPN Fortinet, incluindo nomes de usuário, e-mails e senhas em texto claro de dezenas de milhares de organizações. Diachenko publicou os primeiros achados no LinkedIn, e o pesquisador independente Kevin Beaumont, em parceria com a Hudson Rock, replicou e ampliou a investigação. Em sua análise no blog DoublePulsar, Beaumont confirmou: os dados são legítimos, cobrem cerca de 75 mil dispositivos, quase todos ainda online, e parecem ser recentes.

O detalhe técnico mais alarmante é a origem das credenciais. Não se trata de um dump simples capturado em phishing ou em sessões de login. Beaumont aponta que os dados foram extraídos de exportações de configuração dos próprios dispositivos, contendo informações que só estão visíveis dentro do FortiGate. Isso significa que o atacante, em algum momento, teve acesso operacional aos appliances. Como esse acesso foi obtido permanece em aberto, podendo ser encadeamento a partir de algum dos vários CVEs conhecidos do Fortinet ou algo ainda não divulgado publicamente.

A Hudson Rock disponibilizou uma ferramenta gratuita de consulta em hudsonrock.com/fortinet, permitindo que organizações verifiquem se seus domínios aparecem no conjunto de dados. Entre os nomes citados estão Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, várias agências governamentais e operadores de infraestrutura crítica.

Como o ataque funciona

A pilha ofensiva descrita por Diachenko, depois que ele localizou um diretório aberto contendo o ferramental dos próprios criminosos, é industrial. O grupo intercepta hashes de autenticação SSL VPN do FortiGate e os submete a quebra de senha em um cluster de 45 GPUs orquestrado por Hashtopolis, plataforma legítima de gerenciamento distribuído de hashcat. Em paralelo, mantém scripts, strings de conexão, logs e dashboards de analytics que evidenciam a operação em escala: 1,16 bilhão de tentativas contra 320.777 endpoints FortiGate e 2,1 bilhões contra 163.650 instâncias de MS SQL Server, com vítimas plenamente comprometidas no Japão, Taiwan, Vietnã, Iraque e Turquia, incluindo uma empreiteira de defesa turca ligada à OTAN da qual documentos classificados teriam sido exfiltrados.

A questão do armazenamento de senhas no FortiOS é central. A Fortinet migrou para PBKDF2 no início de 2025, mas apenas para dispositivos onde os administradores efetivamente fizeram login após a atualização do firmware. Muitos appliances ainda guardam senhas como SHA-256 com sal, formato perfeitamente quebrável a partir de um arquivo de configuração roubado. É exatamente esse cenário que o FortiBleed explora.

“Os dados são legítimos. São cerca de 75 mil dispositivos. Quase todos ainda estão online, e são Fortinet. Parecem ser dados recentes. Os dados parecem ter vindo de exportações de configuração dos dispositivos, pois incluem coisas que só são visíveis a partir do próprio aparelho.”

Kevin Beaumont, pesquisador de segurança e autor da análise no DoublePulsar

Quem é afetado

  • 73.932 URLs únicas de firewalls FortiGate em 194 países, distribuídas em 21.632 domínios distintos.
  • Aproximadamente 50% de todos os FortiGate atualmente expostos à internet, segundo levantamento por Shodan.
  • Nomes corporativos identificados incluem Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, Chevron e a própria Fortinet.
  • Agências governamentais e operadores de infraestrutura crítica em múltiplos países, com casos confirmados de exfiltração de documentos classificados.
  • Dispositivos com interface de gerenciamento exposta à internet, situação confirmada na maioria dos firewalls afetados.

Análise

O FortiBleed não é apenas mais um vazamento de credenciais. É a confirmação de que ataques contra appliances de borda evoluíram para um modelo industrializado de venda de acesso inicial. O dataset traz, para cada entrada, indústria da empresa, faturamento, número de funcionários e país. Esse enriquecimento de inteligência comercial é, segundo Beaumont, formato típico de marketplaces de acesso inicial em fóruns de eCrime. Não é troféu de hobby. É catálogo de vendedor.

Em contraste com o leak do Belsen Group em 2025, que reciclava dados antigos derivados de um zero-day de 2022 e cobria 15 mil dispositivos, o FortiBleed apresenta IPs majoritariamente diferentes e dados aparentemente atualizados. A combinação de exportação de config com cluster de cracking de alta performance lembra o ecossistema de IABs (Initial Access Brokers) que alimentou grupos como LockBit, ALPHV e mais recentemente Qilin e DragonForce, padrão que vimos no último ano em outros vazamentos massivos de credenciais Fortinet, Ivanti e SonicWall.

Há um aspecto particular ao Brasil que merece atenção. FortiGate é equipamento extremamente comum em órgãos públicos federais e estaduais, em redes bancárias secundárias e em provedores ISP de médio porte. Uma checagem rápida via Shodan mostra milhares de dispositivos brasileiros com management interface exposta. Se aproximadamente 50% dos FortiGate expostos no mundo estão no dataset, a probabilidade estatística de instituições brasileiras estarem contempladas é alta. Recomendamos que CSIRTs nacionais cruzem domínios .gov.br, .edu.br e ASNs financeiros contra a base da Hudson Rock o quanto antes.

Recomendações práticas

  • Consultar imediatamente o lookup gratuito da Hudson Rock em hudsonrock.com/fortinet para verificar se domínios da organização aparecem no dataset.
  • Rotacionar todas as credenciais de administrador do FortiGate, mesmo que o domínio não apareça publicamente, presumindo comprometimento até prova contrária.
  • Auditar logs de autenticação procurando por logins administrativos bem-sucedidos a partir de IPs não esperados nas últimas 12 a 24 semanas.
  • Atualizar para a versão mais recente do FortiOS e exigir novo login dos administradores, etapa que aciona a migração do armazenamento de senhas para PBKDF2.
  • Desabilitar a interface de gerenciamento exposta à internet; restringir o acesso administrativo a redes internas ou a VPNs separadas com MFA obrigatório.
  • Aplicar MFA para todos os usuários administrativos e revisar contas de administrador legadas ou genéricas criadas em janelas de incidente.
  • Procurar contas de admin não documentadas que possam ter sido criadas como backdoor após a captura das configurações.
  • Para organizações com appliances no Brasil, comunicar o caso ao CTIR Gov e ao CERT.br quando houver evidência de comprometimento.

Fonte: Security Affairs

Matérias Relacionadas

F5-1

F5 libera patches emergenciais para duas falhas críticas no NGINX (CVE-2026-42530 e CVE-2026-42055) que permitem execução remota de código sem autenticação

18 de junho de 2026
ms-patch

Microsoft confirma zero-day RoguePlanet no Defender (CVE-2026-50656) e diz que patch está em desenvolvimento; PoC funciona até com proteção em tempo real ativa

18 de junho de 2026
dragonforce-teams-turn-backdoor

DragonForce usa servidores TURN do Microsoft Teams como canal de command-and-control com novo backdoor em Go

17 de junho de 2026

Veja mais..

F5-1

F5 libera patches emergenciais para duas falhas críticas no NGINX (CVE-2026-42530 e CVE-2026-42055) que permitem execução remota de código sem autenticação

18 de junho de 2026
ms-patch

Microsoft confirma zero-day RoguePlanet no Defender (CVE-2026-50656) e diz que patch está em desenvolvimento; PoC funciona até com proteção em tempo real ativa

18 de junho de 2026
image-48

FortiBleed: credenciais de admin de 75 mil firewalls Fortinet vazam em campanha que mira metade dos FortiGate expostos à internet

18 de junho de 2026
dragonforce-teams-turn-backdoor

DragonForce usa servidores TURN do Microsoft Teams como canal de command-and-control com novo backdoor em Go

17 de junho de 2026
github-shai-hulud-deep-specter

GitHub descarta dois relatórios de segurança sobre falhas exploradas pelo worm Shai-Hulud em ataques à cadeia de suprimentos

17 de junho de 2026
Social Media Auto Publish Powered By : XYZScripts.com