FortiBleed: Mais de 73.000 firewalls Fortinet são comprometidos na maior campanha de roubo de credenciais já vista

Método de exploração: nenhum zero-day, apenas má higiene

Apesar do nome evocar o Heartbleed, o FortiBleed não tem nada a ver com uma vulnerabilidade de software. Múltiplas empresas de segurança — incluindo TechCrunch, SOCRadar, Hudson Rock e Arctic Wolf — confirmaram que nenhuma vulnerabilidade desconhecida (zero-day) foi usada .

Em vez disso, os atacantes seguiram uma abordagem de dois passos na cadeia de suprimentos:

• Passo 1: Coletar credenciais de malwares infostealer. Credenciais de interfaces de administração e portais VPN da Fortinet foram inicialmente roubadas de máquinas de funcionários e administradores infectadas com malwares infostealer .
• Passo 2: Quebrar hashes de senhas de configurações expostas. Uma vez com acesso inicial, os atacantes extraíam arquivos de configuração de dispositivos FortiGate expostos na internet e quebravam os hashes de senhas SSL VPN armazenados usando um cluster de 45 GPUs, explorando senhas fracas ou não trocadas .

A SOCRadar confirmou que os atacantes acumularam pelo menos 30.791 credenciais de trabalho verificadas de dispositivos FortiGate expostos na internet . A análise independente da Arctic Wolf confirmou que as estimativas de dispositivos comprometidos variam entre 30.000 e 75.000 .

Vítimas de alto perfil

As vítimas confirmadas, citadas em vários relatórios, incluem Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens e PwC, além de agências governamentais de pelo menos 15 nações . A Reuters informou que a maioria dos dispositivos comprometidos estava localizada nos Estados Unidos, Índia e Taiwan .

Os setores mais atingidos, de acordo com os dados analisados, foram:

• Serviços de TI (provedores de serviços gerenciados, operações de nuvem)
• Materiais de construção (grandes fornecedores multinacionais)
• Telecomunicações (operadoras tier-1 e ISPs)

Múltiplas fontes identificam estes como os três segmentos mais impactados .

Ataques simultâneos relacionados

Concomitantemente ao FortiBleed, pesquisadores observaram 2,1 bilhões de tentativas de login por força bruta contra mais de 160.000 servidores MSSQL expostos na internet, acreditando-se serem operados pelo mesmo cluster de ameaças .

Atribuição

Tanto a SOCRadar quanto a Hudson Rock atribuem a campanha a um grupo de ameaças multi-operador de língua russa . Os atacantes mantinham infraestrutura back-end ativa — incluindo tarefas cron, telemetria e loops de coleta de credenciais ao vivo — em dispositivos comprometidos, indicando uma operação sofisticada e contínua, em vez de uma captura de dados pontual .

Resposta recomendada

Empresas de segurança, incluindo Hudson Rock, Arctic Wolf e Fortinet, recomendam as seguintes ações imediatas para qualquer organização que use dispositivos Fortinet:

• Forçar a rotação imediata de credenciais para todas as contas de administrador e SSL VPN do FortiGate .
• Impor autenticação multifator (MFA) em cada login VPN — este é o controle mais eficaz contra ataques de credential stuffing .
• Auditar logs de dispositivos em busca de exportações de configuração não autorizadas, tarefas cron desconhecidas e sessões VPN anômalas .
• Restringir o acesso à interface de gerenciamento apenas a IPs confiáveis; nunca deixe a UI de administração ou SSH expostas à internet pública .

Portal gratuito de consulta de exposição

A Hudson Rock lançou um portal de consulta gratuito permitindo que qualquer organização pesquise seu domínio no banco de dados de credenciais dos 73.932 dispositivos. Esta ferramenta foi amplamente divulgada em 17 e 18 de junho de 2026 .