FortiBleed: o vazamento de credenciais que colocou 75 mil firewalls FortiGate sob risco

Em 17 de junho de 2026, pesquisadores divulgaram um conjunto de dados batizado de FortiBleed, contendo credenciais administrativas e de SSL VPN funcionais de aproximadamente 73.932 URLs de firewalls Fortinet FortiGate, distribuídos por 194 países e abrangendo 21.632 domínios corporativos únicos. O Brasil aparece na 11ª posição entre os países mais afetados, com cerca de 1.737 dispositivos listados, segundo alerta oficial do Centro Integrado de Segurança Cibernética (CISC/gov.br).

O FortiBleed não é uma vulnerabilidade nova no FortiOS, mas sim uma campanha de comprometimento de credenciais em escala industrial, operada há meses contra interfaces de gerenciamento e VPN SSL expostas à internet. Isso significa que metade dos FortiGate expostos à internet operava com interfaces de borda acessíveis e credenciais recicláveis, seguindo dessa forma por meses, sem detecção.

Escala do FortiBleed

A campanha só veio a público porque os operadores deixaram o back-end exposto à internet com directory listing aberto, descoberto inicialmente por Volodymyr “Bob” Diachenko, pesquisador de segurança da Security Discovery. O servidor continha 319 arquivos com o ambiente de trabalho completo do grupo: scanners, scripts de automação, strings de conexão, jobs agendados, histórico de comandos e a base de credenciais validadas. A presença de um arquivo .conf de VPN funcional confirma que os operadores tinham uma lista de senhas crackeadas e acesso vivo a redes corporativas.

A campanha foi atribuída a um grupo de língua russa, mas a atribuição é parcial: as wordlists de password spraying contêm centenas de arquivos nomeados a partir de nomes próprios persas e árabes (pass_ahmad, pass_reza, pass_hossein, pass_mohammad), o que é igualmente compatível com um operador de língua persa atuando ou sourcing credenciais nessa região linguística. Os números reportados são os seguintes:

• 1,16 bilhão de tentativas de credenciais contra 320.777 alvos FortiGate;
• 2,1 bilhões de tentativas adicionais contra 163.650 servidores Microsoft SQL Server;
• 30.791 credenciais funcionais verificadas pela SOCRadar dentro do dataset;
• Aproximadamente 36 GPUs observadas na infraestrutura de cracking baseada em Hashtopolis, utilizadas para crackeamento offline de hashes.

Infraestrutura da operação de ataque

Diferente do que sugeriam as primeiras divulgações, a operação não dependia de um único cluster dedicado de alta capacidade. Embora alguns relatos tenham associado a campanha a um ambiente com aproximadamente 45 GPUs, os registros recuperados da própria infraestrutura indicam uma arquitetura distribuída, baseada em recursos de GPU alugados sob demanda: 

• Camada de coordenação: instância do Hashtopolis 0.14.3 acessível em 85.11.187.8:8443, identificada publicamente poucos dias antes da divulgação do caso.
• Camada de execução: seis workers alugados na plataforma Vast.ai, sendo três com 4 GPUs e três com 8 GPUs, totalizando aproximadamente 36 GPUs efetivamente observadas nos registros analisados. 
• Automação operacional: o script bot.py, controlado via Telegram, era responsável pela gestão dos trabalhos de cracking e pela distribuição das cargas entre os workers disponíveis. 

O aspecto mais relevante não está na quantidade exata de GPUs utilizada, mas no modelo operacional adotado. A infraestrutura foi construída quase inteiramente com serviços amplamente disponíveis no mercado, sem necessidade de hardware próprio ou investimentos extraordinários. O FortiBleed mostra que campanhas capazes de atingir centenas de milhares de dispositivos podem ser conduzidas com ferramentas públicas, computação sob demanda e automação, reduzindo significativamente o custo operacional desse tipo de atividade.

Fluxo da coleta e exploração de credenciais FortiGate

1. Varredura massiva da internet em busca de interfaces de gerenciamento FortiGate e endpoints SSL VPN expostos (não exclusivo da Fortinet);
2. Credential stuffing contra repositórios históricos de credenciais roubadas por infostealers;
3. Interceptação de hashes de autenticação SSL VPN e crack offline no cluster de GPUs;
4. Exportação de arquivos de configuração completos dos appliances, permitindo recuperar credenciais sem manter acesso ativo;
5. Pivotagem para o Active Directory interno, com persistência e movimentação lateral;
6. Sniffer instalado no próprio firewall, transformando o dispositivo em ponto de escuta que alimenta o ciclo de novas credenciais.

Porque credenciais complexas não foram suficientes

Um achado especialmente desconfortável: muitas das senhas comprometidas eram longas, complexas, com 20+ caracteres, mas apareceram em texto puro no dataset. Elas foram colhidas previamente por infostealers rodando em estações comprometidas. Como resumiu um especialista citado pela Expert Insights: “uma senha complexa que passou por um infostealer protege você tanto quanto ‘password123′”.

Além disso, há também muitas instâncias de reuso de senha: strings como ITAdmin@888, F0rt!n3tS3cur3!, fortiAdmin1qaz2wsx e Admin@123 aparecem em dezenas de organizações sem relação entre si, indicando credenciais distribuídas por MSPs e contratados que reaproveitam padrões.

Quem foi atingido pelo vazamento

A lista de organizações mencionadas no dataset cobre praticamente todos os setores da economia global:

• Tecnologia e manufatura: Foxconn, Samsung, Siemens, Lenovo, Oracle;
• Serviços profissionais: PwC, Accenture;
• Telecom e logística: Comcast, FedEx;
• Energia e automotivo: Chevron, Mercedes-Benz, Toyota, Sinopec, State Grid;
• Governo e infraestrutura crítica: milhares de entidades, incluindo um contratado turco de defesa ligado à OTAN, do qual documentos confidenciais teriam sido exfiltrados.

A leitura dessa lista, porém, exige um cuidado maior. A análise forense dos arquivos deixados no servidor exposto mostra que o dataset combina duas camadas de hash com pesos evidenciais completamente diferentes:

1. Hashes do FortiOS extraídos de configurações exportadas (formatos legacy SHA-256 salgado e o novo PBKDF2), que identificam administradores de firewall mas têm atribuição fraca. Ou seja, frequentemente apontam para o MSP, integrador ou revenda que registrou o equipamento no FortiGuard, não para o dono real. Ativos nessa categoria devem ser investigados. 
2. Hashes Kerberos pre-auth, capturados por sniffers instalados dentro de redes onde os atacantes já tinham pivotado, esses sim carregando nomes de domínio Active Directory internos da vítima e configurando prova concreta de presença na rede. Ativos nessa categoria devem ser considerados como comprometidos. 

Essa distinção desinfla, mas não anula, o número de manchete. Os “21.632 domínios” amplamente reportados saem na verdade de um script de enriquecimento que conta agrupamentos de realms Kerberos, e boa parte desses “domínios” são realms internos não-roteáveis terminando em .LOCAL, .LAN, .LCL, .CORP, .INT, .YEREL, ou simplesmente strings genéricas como ADMIN, AD e DC, que não podem ser atribuídas a nenhuma organização específica. Cruzando os dados ponta a ponta, sobram 918 organizações com evidência real de tráfego Kerberos capturado de dentro da rede (menos de 5% das atribuições) e 148 comprometimentos confirmados, com hashes Kerberos crackeados e credenciais de AD validadas (0,68% do número original). Nenhuma das marcas famosas citadas acima aparece nessa lista dos 148.

Recorte Brasil

O Centro Integrado de Segurança Cibernética (CISC/gov.br) classificou o evento como severidade ALTA, campanha ativa, e direcionou o alerta a órgãos e entidades do SISP que operam Fortinet/FortiGate com interface de gerenciamento ou endpoint SSL VPN acessíveis pela internet, independentemente da versão operante do FortiOS.  

Com aproximadamente 1.737 dispositivos brasileiros listados, a recomendação prática é tratar qualquer FortiGate de borda como potencialmente comprometido até prova do contrário. 

Como verificar se você foi afetado pelo vazamento

• Consultar o look-up tool de divulgação ética da Hudson Rock pelo domínio corporativo;
• No próprio FortiGate, ir em System > Events e filtrar pela string config no campo de mensagem para identificar exportações de configuração não autorizadas e a conta utilizada;
• Procurar contas administrativas dormentes criadas em janelas de intrusão anteriores;
• Auditar e trocar credenciais que sigam os padrões reutilizáveis identificados no dataset (ver tabela de IOCs abaixo);
• Verificar se há tráfego de saída para qualquer um dos IPs identificados (ver tabela de IOCs abaixo).

IOCs

Boas práticas e recomendações de segurança

• Rotacionar imediatamente todas as senhas de VPN SSL e interfaces administrativas Fortinet;
• Habilitar MFA em todos os acessos administrativos e de VPN;
• Remover a interface de gerenciamento da internet pública, restringindo a uma VLAN dedicada ou acesso via bastion;
• Atualizar para FortiOS 7.2.11, 7.4.8, 7.6.1 ou superior para usufruir do hashing PBKDF2, e forçar cada administrador a logar uma vez para acionar o re-hash;
• Rotacionar credenciais LDAP, RADIUS e service accounts que possam ter sido armazenadas em configurações exportadas;
• Auditar exportações de configuração nos últimos 60 dias;
• Validar contas administrativas ativas e dormentes no FortiGate;
• Investigar sinais de movimentação lateral em Active Directory correlacionados com logins SSL VPN suspeitos;
• Revisar logs de autenticação em MSSQL expostos. 

Considerações finais 

O FortiBleed é a fotografia do que acontece quando credenciais válidas circulam em escala industrial e o perímetro é tratado como linha de defesa final. Sem zero-day, sem exploit espetacular: bastou paciência, automação e infraestrutura de GPU sob demanda para transformar metade dos FortiGate expostos do planeta em pontos de escuta. 

Os números originais merecem cuidado: o que começou como “21 mil empresas comprometidas” se reduziu a 918 redes com tráfego interno capturado e 148 comprometimentos confirmados; o que NÃO diminui o risco, apenas reposiciona a urgência. O dever de casa para qualquer organização com FortiGate exposto continua o mesmo: tirar o gerenciador da internet, rotacionar credenciais, exigir MFA, atualizar FortiOS e caçar sinais de presença antes que apareçam num próximo dump. 

A pergunta que fica é: sua organização sabe quando foi a última vez que a configuração do seu firewall de borda foi exportada, e por quem? 

O CDC Security, célula de maturidade em cibersegurança do Grupo Task TI, apoia times de TI e segurança brasileiros na redução de exposições como as evidenciadas pelo FortiBleed, combinando análise de risco e auditoria de segurança para identificar management planes expostos e contas administrativas dormentes, SIEM/SOAR para detectar e responder em tempo real a logins anômalos em VPN SSL e movimentação lateral em Active Directory, plano de resposta a incidentes para reagir rápido quando credenciais válidas caem em datasets públicos, aculturamento em cibersegurança e campanhas de phishing para conter o reaproveitamento de senhas que alimenta infostealers. Tudo entregue de forma prescritiva, com dashboards personalizados e especialistas dedicados, sem que sua empresa precise montar um time interno de segurança. 

Para entender melhor como proteger seus firewalls, credenciais e ativos críticos, entre em contato com o CDC Security. Com uma abordagem baseada em maturidade em cibersegurança, ajudamos empresas a identificar riscos, reduzir exposições a vazamentos de credenciais e fortalecer sua postura de segurança por meio de consultoria especializada, monitoramento, conscientização e resposta a incidentes.

Fontes 

• Inside the FortiBleed Open Directory: A Technical Analysis of What the Attacker Left Behind 
• Alerta oficial CISC/gov.br – Dispositivos Fortinet / FortiBleed 
• Hudson Rock / InfoStealers – FortiBleed disclosure 
• The Register – Massive password-stealing attack hits 75k Fortinet firewalls 
• TheNextWeb – Attackers cracked 75,000 Fortinet firewalls with old passwords 
• DoublePulsar (Kevin Beaumont) – via The CyberSec Guru 
• SOCRadar / DataWater – 30.791 credenciais verificadas 
• Recorded Future / Insikt Group – FortiBleed campaign 
• Cyber Security News – FortiBleed 70,000+ firewalls 
• CyberInsider – Admin credentials for 75,000 firewalls 
• SecurityWall – Inside the 73,000-Firewall Credential Leak 
• Expert Insights – Por que senhas fortes não ajudaram 
• EOTISEC-2026-044 FortiBleed – Analytical Intelligence Report