Cerca de 75 mil firewalls Fortinet teriam sido afetados por uma ampla campanha de roubo de credenciais, com exposição de senhas associadas a dispositivos FortiGate usados por empresas em 194 países. A atividade, descrita por pesquisadores de segurança como uma operação de grande escala contra interfaces VPN SSL e administrativas, teria atingido contas ligadas a grandes corporações globais, incluindo FoxConn, Samsung, Comcast, Siemens, Lenovo, FedEx, PxW, Accenture, Oracle e outras organizações.

A análise da Hudson Rock aponta que o vazamento envolve 21.632 domínios únicos. Segundo a empresa, os dados verificados indicam a existência de uma base de credenciais funcionais associadas a algumas das maiores empresas do mundo, com impacto potencial em praticamente todos os setores da economia global. A recomendação imediata para organizações que utilizam firewalls Fortinet é revisar se seus domínios aparecem entre os afetados, redefinir todas as senhas vinculadas a VPNs Fortinet e interfaces administrativas, além de garantir que a autenticação multifator esteja habilitada.

O risco é considerado elevado porque credenciais válidas de firewall podem oferecer aos invasores acesso remoto direto não apenas ao equipamento de borda, mas também a partes sensíveis da rede corporativa. Em ambientes mal segmentados ou com controles internos frágeis, esse tipo de acesso pode facilitar movimentação lateral, coleta de informações, abuso de contas privilegiadas e comprometimento de sistemas internos.

O pesquisador Volodymyr “Bob” Diachenko afirmou ter identificado inicialmente as intrusões e associou a operação a um grupo de língua russa. Segundo ele, os invasores interceptam autenticações de VPN SSL, quebram hashes com o apoio de um cluster de 45 GPUs gerenciado via Hashtopolis e, em seguida, avançam para ambientes internos de Active Directory. Esse fluxo sugere uma cadeia de ataque voltada não apenas ao roubo de credenciais, mas também ao acesso persistente e à expansão dentro das redes comprometidas.

De acordo com Diachenko, a operação processou 1,16 bilhão de tentativas de credenciais contra 320.777 alvos FortiGate e 2,1 bilhões de tentativas contra 163.650 servidores MSSQL. O pesquisador também afirmou que ao menos quatro organizações foram totalmente comprometidas, incluindo uma contratada turca de defesa ligada à OTAN, caso em que documentos classificados de defesa teriam sido roubados.

O pesquisador Kevin Beaumont, que também analisou parte das credenciais expostas, afirmou que os dados são legítimos. Segundo ele, logins e senhas verificados pertenciam a organizações com as quais já havia trabalhado, e muitos dos dispositivos avaliados estavam em versões relativamente recentes de correção. A observação é relevante porque indica que o problema pode não estar restrito a equipamentos abandonados ou sem atualização, embora a origem exata das credenciais ainda seja contestada.

Dados do mecanismo de busca Shodan indicam que o volume de dispositivos envolvidos corresponderia a aproximadamente metade dos firewalls Fortinet expostos diretamente à internet. Beaumont também observou que a maioria dos equipamentos comprometidos continuava online, o que aumenta o risco de uso ativo das credenciais por outros grupos criminosos, operadores de ransomware ou agentes interessados em espionagem corporativa e governamental.

Após a publicação original da reportagem pelo The Register, a Fortinet negou que os ataques sejam recentes. Em nota enviada ao veículo, a empresa afirmou que, com base em sua análise, os dados seriam uma republicação de informações provenientes de incidentes anteriores, além de tentativas de força bruta contra credenciais, sem relação com qualquer incidente ou alerta recente. A companhia também disse que organizações que seguem boas práticas rotineiras, incluindo a atualização periódica de credenciais de segurança conforme orientação publicada em março, enfrentam risco mínimo diante dos detalhes mencionados na reportagem.

O The Register informou ter procurado as empresas supostamente afetadas pela campanha chamada FortiBleed. A Lenovo afirmou que estava analisando o caso, enquanto as demais organizações citadas não responderam até a publicação.

Mesmo com a posição da Fortinet, o caso exige atenção imediata de equipes de segurança, especialmente em empresas que utilizam FortiGate para acesso remoto, VPN SSL ou administração exposta à internet. A rotação de senhas, a validação de logs de autenticação, a revisão de acessos administrativos, a aplicação de autenticação multifator e a investigação de possíveis sinais de movimentação lateral em Active Directory são medidas essenciais para reduzir o risco de exploração das credenciais vazadas.