Vazamento FortiBleed expõe credenciais de 75 mil firewalls Fortinet em 194 países

A base com credenciais para 73.932 firewalls Fortinet espalhados por 194 países começou a circular em 18 de junho, segundo o relato do pesquisador ucraniano Volodymyr "Bob" Diachenko, que identificou o servidor. O conjunto inclui usuários, e-mails e senhas em texto puro de aparelhos FortiGate e gateways VPN, e mais de 21 mil domínios corporativos figuram na lista. Apareceram nomes como Oracle, Chevron, Lenovo, FedEx, Foxconn, Samsung, Comcast, Siemens, DHL, Infosys, PwC, Accenture e um contratado de defesa da Otan.

A campanha, batizada de FortiBleed pelos primeiros relatórios, foi atribuída a um grupo de criminosos de fala russa. Os analistas que tiveram acesso ao material descrevem 1,16 bilhão de tentativas de credenciais contra 320.777 alvos FortiGate, somadas a outros 2,1 bilhões de ataques de força bruta contra 163.650 instâncias Microsoft SQL Server.

A resposta da Fortinet e da CISA

A Fortinet emitiu nota dizendo estar ciente da "campanha de coleta de credenciais por terceiros que mira firewalls e gateways VPN da Fortinet". A empresa atribui o material a "uma reutilização de dados de incidentes anteriores, somada a credenciais obtidas por força bruta", e nega que exista qualquer falha nova no produto. "Até o momento, não encontramos qualquer indício de que a Fortinet tenha sido comprometida ou de que esta atividade esteja ligada a um zero-day", afirmou a empresa em comunicado público.

A Cybersecurity and Infrastructure Security Agency (CISA), no mesmo 18 de junho, emitiu alerta para que organizações federais e privadas dos EUA reforcem suas instalações Fortinet expostas à internet. O Centro de Coordenação de Cibersegurança de Hong Kong (HKCERT) lançou aviso simultâneo, citando o risco para empresas locais. Mesmo com a Fortinet rejeitando o rótulo de zero-day, a quantidade de credenciais em texto puro funcionando hoje é o que assusta os times de SOC: cada par usuário-senha válido é uma porta aberta enquanto a senha não for trocada.

Por que esse vazamento é diferente

O FortiBleed importa menos pelo método e mais pela escala da mistura entre administração e VPN. Em firewalls de borda, o mesmo conjunto de credenciais pode abrir a console do dispositivo e o túnel que carrega tráfego corporativo. Para uma multinacional com escritórios em dezenas de países, isso converte um único firewall comprometido em ponte para a rede interna inteira. A lista de afetados inclui nomes que rodam operações industriais (Siemens, Foxconn, Samsung), logística (FedEx, DHL) e advisory (Accenture, PwC), em geografias que vão da Coreia do Sul à Alemanha.

A Arctic Wolf, em análise técnica publicada também em 18 de junho, registra que a campanha está "ativa" no sentido de continuar tentando logins, mas que a aquisição dos dados pode datar de meses anteriores, de incidentes diferentes consolidados em um único dossiê. Para a empresa, é mais curadoria do que vazamento novo, contrastando com o framing de "ataque inédito" que circulou em redes sociais.

Leitura para o C-level

Para o CIO de uma multinacional, há três frentes imediatas. A primeira é rodar o IOC publicado pela CISA contra os firewalls da operação, mesmo onde a área de segurança garante que credenciais foram rotacionadas após o vazamento Belsen do ano passado. A segunda é verificar VPN baseada em Fortinet usada por filiais menores, onde MFA pode ainda não estar imposto. A terceira é cobrar do parceiro de serviços gerenciados (Accenture, PwC, Infosys, Capgemini, todos na lista de empresas afetadas como clientes finais ou via clientes deles) o detalhamento do que rodam atrás da borda Fortinet.

O dado que vale acompanhar nas próximas 72 horas é se algum dos nomes citados por Diachenko emite comunicado oficial. Até o fechamento desta matéria, nenhum dos clientes corporativos citados na lista tinha se pronunciado publicamente sobre exposição direta. O silêncio nessas circunstâncias costuma significar avaliação interna em curso, não ausência de impacto.