FortiBleed cresce: 86.644 firewalls Fortinet com credenciais validas em 194 paises, CISA emite alerta

Em uma semana, a contagem oficial subiu de 73.932 para 86.644 dispositivos Fortinet comprometidos. O que o pesquisador Volodymyr "Bob" Diachenko descobriu como um servidor exposto no dia 13 de junho virou, segundo o ultimo update da SOCRadar publicado na sexta-feira, a maior coleta de credenciais administrativas de equipamentos de perimetro ja documentada. A campanha, apelidada FortiBleed, ja foi alvo de alerta da CISA em 18 de junho e de orientacao publica do NCSC britanico no mesmo dia.

A base contem credenciais de SSL VPN e administracao de FortiGate em 194 paises e 21.632 dominios unicos, o que corresponde, na estimativa da Arctic Wolf, a aproximadamente metade de todos os firewalls Fortinet acessiveis pela internet. A operacao por tras dela e atribuida a um ator de fala russa que usou infraestrutura com 45 GPUs para quebrar hashes offline em escala industrial, transformando dados de configuracao expostos em credenciais validas testaveis por credential stuffing.

Quem aparece nos dados

Entre os dominios identificados estao Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T, Toyota, Oracle, Siemens, Lenovo e DHL. A lista inclui ainda firmas globais de servicos como Accenture, PwC e Infosys, alem de agencias governamentais e operadores de infraestrutura critica em pelo menos sete paises. Nenhuma destas companhias confirmou publicamente comprometimento ate o fechamento desta materia, e a metodologia da exposicao envolve credenciais validas no momento da coleta, nao necessariamente acesso pos-rotacao.

O recado da CISA na ficha tecnica e direto: encerrar sessoes ativas, redefinir todas as credenciais administrativas, garantir uso de PBKDF2 para armazenamento das senhas, ativar MFA resistente a phishing e tirar a interface de administracao da internet sempre que possivel. "Nao da para tratar isso como um IOC pontual. Cada cliente Fortinet precisa partir do pressuposto de que esta na lista ate provar o contrario", disse Brian Bates, vice-presidente de produto da Bitsight, em comentario reproduzido pela Computing.

A geografia do problema, alem dos EUA

O Reino Unido emitiu alerta paralelo pelo NCSC dada a concentracao de FortiGate em redes do setor publico britanico, especialmente em councils locais e prestadoras do NHS, que usam o equipamento como porta de entrada VPN para o regime de trabalho hibrido. A Alemanha cai sob NIS2 desde outubro de 2025, e operadoras de infraestrutura critica que descobrirem comprometimento agora precisam notificar o BSI em 24 horas, sob risco de multas que podem chegar a 2% do faturamento global.

No Japao, onde MUFG e Mizuho terceirizam parte da operacao de borda para integradores que padronizaram FortiGate, a exposicao se traduz em risco de movimentacao lateral em rede bancaria justamente no momento em que os tres megabancos finalizam projetos de IA generativa com a Anthropic. No Brasil, onde Itau, Bradesco e Nubank operam pilhas mistas Fortinet e Palo Alto, a leitura para o CISO e que o ativo de risco mais perigoso nao e o firewall em si, mas o que ele protege: a confianca implicita das integracoes corporativas que assumem o tunel VPN como zona confiavel.

Por que isso e diferente das ondas anteriores

O Fortinet ja enfrentou disclosures relevantes em 2022 (CVE-2022-40684, 87 mil credenciais vazadas) e 2024 (CVE-2024-21762). A diferenca do FortiBleed esta em tres pontos. Primeiro, nao se trata de uma vulnerabilidade nova, mas da exploracao em massa de configuracoes ja existentes com cracking offline industrial, modelo que difere do exploit de N-day classico. Segundo, o ator manteve a infraestrutura ativa por meses antes da descoberta, ampliando o universo de credenciais validas. Terceiro, a divulgacao expoe uma fragilidade estrutural do mercado: empresas com SOC maduro e patching em dia foram comprometidas pela combinacao de PBKDF2 com iteracao baixa e exposicao do management plane.

A pergunta de Mariano Nunez, CEO da Onapp, no painel da Infosecurity Magazine em 19 de junho, sintetiza o que esta em jogo: como uma empresa de seguranca rota o segredo administrativo de 86 mil dispositivos sem deixar uma janela operacional aberta? O custo da resposta sera medido em meses, nao dias. E ele ainda nao foi precificado pelos boards.