A campanha, batizada de FortiBleed por investigadores de segurança, representa um dos maiores roubos de credenciais de equipamentos de perímetro alguma vez documentados. Foram afetadas 73.932 URLs únicas de firewalls Fortinet em 194 países, resultando em 21.632 domínios corporativos comprometidos. Kevin Beaumont, um dos investigadores independentes mais respeitados na área, confirmou a autenticidade dos dados: “trabalhei com várias organizações listadas e posso confirmar que os logins e passwords são reais.”
Como funcionou o ataque
O FortiBleed não é uma vulnerabilidade, não é um zero-day e não tem CVE associado. O mecanismo é mais simples — e por isso mais preocupante.
Os atacantes partiram de credenciais já vazadas em incidentes anteriores da Fortinet, enriquecidas com registos de infostealers — malware que rouba passwords guardadas em browsers. Com essa lista realizaram password spraying à escala industrial: testaram passwords conhecidas contra todas as firewalls acessíveis e registaram em base de dados cada login bem-sucedido.
A parte tecnicamente mais sofisticada envolveu as sessões VPN: o grupo interceptou hashes de autenticação SSL VPN e quebrou-os offline com um cluster de 45 GPUs gerido através do Hashtopolis. Os atacantes realizaram aproximadamente 1,16 mil milhões de tentativas de credenciais contra 320.777 alvos FortiGate, e 2,1 mil milhões de tentativas contra 163.650 servidores Microsoft SQL Server.
A Fortinet endureceu o armazenamento de credenciais no início de 2025, migrando para o padrão PBKDF2 — mas esta proteção só se aplicou a dispositivos cujos administradores iniciaram sessão após instalar a atualização. Muitos dispositivos continuavam a armazenar credenciais no formato SHA-256 com Salt, mais vulnerável a ataques de força bruta offline.
Dimensão e impacto
Segundo a análise de Kevin Beaumont, o volume de dispositivos afetados corresponde a cerca de metade de todas as firewalls Fortinet expostas diretamente à internet. Entre as organizações identificadas no conjunto de dados constam empresas como Samsung, Oracle, Foxconn, Siemens, Comcast, PwC, Accenture, Lenovo, Chevron, AT&T, Mercedes-Benz e Toyota, bem como entidades governamentais.
Múltiplas organizações no Japão, Taiwan, Vietname, Iraque e Turquia terão sido totalmente comprometidas, incluindo uma empresa contratada de defesa turca ligada à NATO, da qual terão sido roubados documentos classificados.
O conjunto de dados está organizado por tipo de empresa, receita e número de colaboradores — uma estrutura característica de grupos de eCrime que preparam acessos iniciais para venda no mercado negro.
A posição da Fortinet
Após a publicação da notícia pelo The Register, a Fortinet negou que os ataques sejam recentes: “Com base na nossa análise, os dados envolvidos são uma repartilha de dados de incidentes anteriores, bem como de força bruta de credenciais, e não estão relacionados com qualquer incidente ou alerta recente.” A empresa acrescentou que organizações que seguem boas práticas, incluindo a atualização periódica de credenciais, enfrentam risco mínimo.
Investigadores independentes e empresas como a Hudson Rock, SOCRadar e Arctic Wolf mantêm que os dados são válidos e que muitos dos dispositivos continuam online e acessíveis.
O que fazer agora
Para qualquer organização que utilize firewalls ou VPN Fortinet, as medidas imediatas recomendadas pelos investigadores são:
- Repor imediatamente todas as passwords administrativas e de VPN, especialmente em dispositivos expostos à internet
- Implementar autenticação multifator (MFA) em todas as contas de administração e acesso remoto
- Restringir o acesso à interface de gestão da firewall a redes internas de confiança
- Atualizar para a versão mais recente do FortiOS e forçar novo início de sessão dos administradores para que o sistema rehash as passwords com o padrão PBKDF2
- Verificar se existem utilizadores backdoor ou alterações a controlos de segurança que possam indicar comprometimento
- Verificar exposição do domínio na ferramenta gratuita da Hudson Rock: hudsonrock.com/fortinet
Porque é que isto importa
Em Portugal, muitas organizações — incluindo PME e entidades da Administração Pública — utilizam soluções Fortinet para VPN e segurança de perímetro. O Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, transposição da NIS2) impõe obrigações concretas de gestão de risco e reporte de incidentes. Um comprometimento de firewall que permita acesso à rede interna configura exatamente o tipo de incidente que estas entidades são agora obrigadas a comunicar ao CNCS.
O FortiBleed é também um lembrete de que a segurança do perímetro não depende apenas de patches — depende de higiene de credenciais, autenticação multifator e configuração correta dos interfaces de gestão.
Esta informação tem carácter noticioso e baseia-se em dados divulgados publicamente por Hudson Rock, SOCRadar, Kevin Beaumont, Arctic Wolf e The Register.