Dispositivos Fortinet

FortiBleed: Vazamento Massivo de Credenciais FortiGate em Escala Global

Publicado em 18/06/2026 11:15
Compartilhe:

FortiBleed: Vazamento Massivo de Credenciais FortiGate em Escala Global

Severidade: ALTA. Campanha ativa. Credenciais de dispositivos FortiGate expostas publicamente. Verificação e ação imediata necessárias.

Em 17 de junho de 2026, pesquisadores de segurança divulgaram um conjunto de dados denominado "FortiBleed", contendo credenciais de administração e de SSL VPN de dispositivos Fortinet/FortiGate. O pesquisador Volodymyr "Bob" Diachenko identificou os dados ao localizar um servidor operacional do grupo atacante deixado exposto na internet. O pesquisador Kevin Beaumont (DoublePulsar) confirmou a autenticidade de parte das credenciais. O Brasil figura na 11ª posição, com aproximadamente 1.737 dispositivos listados. Este evento não possui CVE associado e o vetor de comprometimento inicial permanece desconhecido.

DESTINATÁRIOS

Órgãos e entidades do SISP que operam dispositivos Fortinet/FortiGate (firewalls, concentradores SSL VPN, appliances de borda) com interface de gerenciamento ou endpoint SSL VPN acessíveis pela internet, independentemente da versão do FortiOS.

DESCRIÇÃO DO EVENTO

FortiBleed: Comprometimento em Escala Global de Dispositivos Fortinet/FortiGate

  • Tipo: Vazamento de credenciais e comprometimento em escala de dispositivos de rede perimetral.
  • Produto afetado: Fortinet FortiGate (firewalls e concentradores SSL VPN), múltiplas versões do FortiOS.
  • Escala reportada: 73.932 URLs de firewall; 21.632 domínios únicos; 194 países (Hudson Rock). Os números divergem entre fontes.
  • Países com mais dispositivos afetados: Índia, EUA, Taiwan, México, Turquia, Tailândia, Colômbia, Malásia, Chile e Emirados Árabes Unidos (Hudson Rock).
  • Brasil: 11ª posição, com aproximadamente 1.737 dispositivos listados (Hudson Rock).
  • Dados expostos: Nomes de usuário, endereços de e-mail e senhas em texto claro; hashes de autenticação SSL VPN.
  • Sem CVE associado; mitigação operacional necessária.
  • Exploração ativa: SIM. Credenciais em circulação pública, autenticidade confirmada por pesquisadores independentes.

O conjunto de dados é distinto do vazamento Belsen Group (2025) e inclui dispositivos em versões recentes do FortiOS. A Fortinet afirmou, em resposta à imprensa, que os dados constituem recompilação de incidentes anteriores combinada a brute force. Essa posição não explica a presença de arquivos de configuração completos no dataset, ponto que permanece sem esclarecimento público.

IMPACTO

O comprometimento de credenciais de gateway de borda representa risco direto à confidencialidade, integridade e disponibilidade da infraestrutura interna. Impactos potenciais incluem:

  • Acesso não autorizado a redes corporativas e governamentais via SSL VPN com credenciais válidas.
  • Exposição de dados sensíveis e sistemas internos após comprometimento do gateway de borda.
  • Movimento lateral para ativos críticos internos, incluindo controladores de domínio (Active Directory).
  • Persistência de acesso, inclusive após rotação parcial de credenciais, em razão do ciclo autoalimentado de captura de novas credenciais pelo grupo.
  • Setores afetados confirmados: Serviços de TI, Telecomunicações, Serviços Financeiros, Serviços Governamentais, Saúde e Infraestrutura Crítica.

AÇÕES RECOMENDADAS

Ação imediata:

  • Rotacionar imediatamente todas as credenciais de VPN e de administração dos dispositivos Fortinet, independentemente de suspeita de comprometimento.
  • Atualizar o FortiOS para a versão mais recente disponível e efetuar novo login de todos os administradores.

Hardening:

  • Remover a exposição da interface de gerência FortiGate à internet; restringir acesso administrativo a faixas de IP confiáveis via local-in policies.
  • Habilitar MFA obrigatório em todos os gateways e interfaces de acesso externo.
  • Auditar logs de acesso em busca de logins em horários, países ou endereços IP anômalos, sessões administrativas inesperadas e volumes de tráfego incomuns; assumir comprometimento se houver login suspeito e verificar usuários backdoor e alterações de configuração.

OBSERVAÇÕES

  • Este evento não possui CVE associado. O nome "FortiBleed" é denominação adotada por pesquisadores e não indica vulnerabilidade de memória ou vazamento de processo.
  • O vetor de comprometimento inicial permanece desconhecido. Nenhuma fonte pública identificou como os arquivos de configuração originais foram obtidos. A hipótese de exploração de vulnerabilidade ainda não divulgada não pode ser descartada.
  • Os números de escala divergem entre as fontes: Hudson Rock e Kevin Beaumont reportam 73.000 a 75.000 dispositivos; a SOCRadar reporta cerca de 30.791 credenciais verificadas como válidas. A divergência reflete metodologias distintas de contagem.
  • A Fortinet contestou o ineditismo do evento, afirmando que os dados são recompilação de incidentes anteriores somada a brute force de credenciais. Essa posição não foi acompanhada de análise técnica pública que explique a presença de arquivos de configuração completos.
  • A atribuição a grupo de fala russa e os relatos de exfiltração de documentos classificados partem de Diachenko e SOCRadar e não foram confirmados de forma independente. Tratar como não confirmado até validação adicional.

REFERÊNCIAS

BleepingComputer / Lawrence Abrams (17/06/2026):

https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/

Kevin Beaumont / DoublePulsar (17/06/2026):

https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8

SOCRadar (17/06/2026):

https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/

Dark Reading (17/06/2026):

https://www.darkreading.com/cyberattacks-data-breaches/sweeping-credential-harvesting-heist-compromises-30k-fortinet-devices

Compartilhe: