Notícias
RECOMENDAÇÃO 12/2026
[TLP:CLEAR]
1. A campanha denominada FortiBleed, identificada publicamente em junho de 2026, representa uma das maiores operações já observadas de comprometimento de dispositivos Fortinet FortiGate expostos à Internet. A atividade tem sido rastreada desde pelo menos fevereiro de 2026 e demonstra elevado grau de automação, escala industrial e foco na obtenção de acesso inicial a redes corporativas e governamentais. Segundo fontes, a base de dados associada à campanha contém registros vinculados a aproximadamente 73.932 dispositivos Fortinet distribuídos em 194 países, abrangendo mais de 21 mil domínios distintos. No Brasil, foram identificados 39 domínios afetados e 309 credenciais comprometidas, incluindo registros associados a organizações governamentais, do Poder Judiciário e da administração pública indireta.
2. As análises conduzidas por pesquisadores independentes e empresas de inteligência cibernética indicam que os operadores da campanha mantêm uma infraestrutura dedicada à coleta, validação e exploração de credenciais de dispositivos Fortinet. Entre as atividades observadas destacam-se:
- aproximadamente 1,16 bilhão de tentativas de autenticação contra mais de 320 mil dispositivos FortiGate;
- aproximadamente 2,1 bilhões de tentativas de autenticação contra mais de 163 mil servidores Microsoft SQL Server;
- coleta massiva de credenciais de VPN SSL;
- validação automática de credenciais obtidas;
- manutenção de registros detalhados de organizações comprometidas para utilização em operações posteriores.
Também foram identificados indícios de exploração de vulnerabilidades associadas a mecanismos de autenticação e Single Sign-On (SSO), incluindo: CVE-2026-24858, CVE-2025-59718, e CVE-2025-59719.
3. Recomendações Prioritárias
3.1. Redução Imediata da Superfície de Ataque
- Remover a exposição direta das interfaces administrativas HTTPS e SSH à Internet pública.
- Restringir o acesso administrativo por meio de Local-In Policies.
- Permitir gerenciamento apenas a partir de endereços IP previamente autorizados.
- Utilizar VPN dedicada ou rede segregada de gerenciamento para acesso administrativo.
3.2. Realizar imediatamente a troca de: contas administrativas do FortiGate; usuários com acesso VPN; contas locais do equipamento; contas de serviço;e integrações que utilizem credenciais armazenadas no firewall. A rotação deve priorizar contas privilegiadas e acessos remotos.
3.3. Após atualização de firmware, recomenda-se a redefinição de todas as senhas administrativas para garantir a regeneração dos hashes utilizando PBKDF2, reduzindo a exposição decorrente de mecanismos legados baseados em SHA-256.
3.4. Implementar autenticação multifator resistente a phishing para: acesso administrativo; VPN SSL; contas privilegiadas; e integrações críticas suportadas. A ausência de MFA aumenta significativamente a probabilidade de exploração bem-sucedida das credenciais expostas.
3.5. Garantir que todos os equipamentos Fortinet estejam executando versões suportadas e atualizadas do FortiOS. Sugere-se a revisão de:
- perfis administrativos;
- contas locais;
- configurações VPN;
- certificados;
- regras de firewall;
- políticas de acesso;
- mecanismos de backup e exportação;
- integrações com SIEM.
4. A existência de credenciais válidas em bases associadas à campanha FortiBleed deve ser tratada como indicativo de potencial comprometimento. A ausência de eventos de autenticação suspeitos ou falhas de login não deve ser considerada evidência de segurança, uma vez que parte das credenciais pode ter sido obtida por captura passiva de tráfego, exportação de configurações ou comprometimentos anteriores. Órgãos que identificarem sua presença em bases relacionadas à campanha devem iniciar imediatamente os procedimentos de resposta a incidentes e higienização de credenciais.
5. Comunicação de incidentes: Caso seja identificada qualquer comunicação anômala, tentativa de acesso não autorizado ou suspeita de comprometimento de credenciais vinculadas a sistemas Dígitro (mesmo após a atualização), o órgão deve reportar imediatamente ao CTIR Gov pelo e-mail ctir@ctir.gov.br.
[TLP:CLEAR]