Pesquisadores de segurança identificaram uma das maiores campanhas já registradas contra equipamentos da Fortinet, resultando no comprometimento de credenciais de aproximadamente 75 mil firewalls e gateways VPN utilizados por organizações em todo o mundo. O incidente, apelidado de FortiBleed, afeta dispositivos expostos à internet e levanta preocupações sobre o acesso indevido a redes corporativas críticas.
A descoberta foi feita por pesquisadores independentes e posteriormente analisada pelas empresas de segurança Hudson Rock e SOCRadar. Segundo os levantamentos, os criminosos obtiveram acesso a cerca de 73.900 dispositivos Fortinet distribuídos em 194 países, reunindo uma extensa base de credenciais válidas de administradores e usuários.
Diferentemente de ataques que exploram falhas inéditas de software, a campanha teria utilizado uma combinação de senhas vazadas anteriormente, credenciais fracas e ataques de força bruta. Os invasores escaneavam a internet em busca de dispositivos Fortinet acessíveis e tentavam autenticação utilizando bancos de dados de senhas comprometidas.
Após obter acesso aos equipamentos, os criminosos monitoravam o tráfego de rede e coletavam novas credenciais que passavam pelos dispositivos comprometidos. Esse processo permitia ampliar continuamente o alcance da operação, transformando o ataque em um mecanismo de propagação praticamente automático.
Entre as organizações potencialmente afetadas aparecem empresas globais de tecnologia, telecomunicações, manufatura e consultoria. Relatórios citam nomes como Oracle, Lenovo, Samsung, Foxconn, Comcast e Siemens entre os ambientes onde foram identificados dispositivos comprometidos.
A Fortinet afirmou estar ciente da campanha e informou que a atividade observada não está relacionada a uma nova vulnerabilidade ou a um incidente recente. Segundo a companhia, os invasores estariam explorando dados obtidos em ocorrências anteriores e realizando tentativas automatizadas de autenticação contra firewalls e sistemas VPN.
Especialistas alertam que o impacto pode ser significativo. Firewalls corporativos costumam atuar como a principal barreira entre a rede interna e a internet. Quando comprometidos, podem fornecer aos atacantes acesso privilegiado a sistemas internos, credenciais administrativas, configurações de rede e informações estratégicas das organizações.
As recomendações para administradores incluem a troca imediata de senhas, ativação da autenticação multifator (MFA), revisão de logs de acesso e restrição do acesso administrativo pela internet. Também é aconselhável manter os dispositivos atualizados e limitar interfaces de gerenciamento apenas a redes confiáveis.
O caso reforça uma tendência observada por especialistas em segurança: ataques modernos nem sempre dependem de falhas sofisticadas. Em muitos casos, credenciais reutilizadas, senhas fracas e configurações inadequadas continuam sendo portas de entrada suficientes para comprometer milhares de sistemas em escala global.
A dimensão da campanha demonstra como dispositivos de infraestrutura de rede seguem entre os alvos preferenciais dos cibercriminosos. Para empresas e órgãos públicos, o incidente serve como um alerta sobre a importância da gestão de credenciais e da proteção contínua dos equipamentos que sustentam suas operações digitais.
