--- title: "Fortinet reage à campanha FortiBleed" author: "Ignácio Afonso" date: "2026-06-23 08:30:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2026/06/23/fortinet-reage-a-campanha-fortibleed/md" --- ## Resumo - Campanha FortiBleed expôs até 86 mil credenciais válidas de FortiGate em 194 países - Fortinet esclarece que não há zero-day novo envolvido, apenas reutilização de dados vazados e brute force - Empresa já notificou clientes afetados e colabora com autoridades internacionais - Recomendações incluem rotação de senhas, MFA resistente a phishing e atualização para FortiOS específicos - Pesquisadores estimam que metade dos FortiGate expostos na internet pode estar comprometida - Campanha envolveu mais de 1,16 bilhão de tentativas de autenticação automatizadas --- Em meados de junho de 2026, uma campanha de roubo de credenciais batizada de FortiBleed colocou sob holofotes milhares de firewalls FortiGate da Fortinet, revelando que a segurança de redes críticas ainda depende de práticas que muitos consideram básicas, mas que continuam sendo negligenciadas. Pesquisadores descobriram bases de dados com entre 73 mil e 86 mil credenciais administrativas e de VPN validadas, distribuídas por 194 países, resultado de extração automatizada de arquivos de configuração e quebra de hashes armazenados em dispositivos expostos à internet. A Fortinet reagiu rapidamente com um comunicado oficial, deixando claro que o episódio não envolve exploração de falhas zero-day recentes em seus produtos, mas sim a reciclagem de credenciais vazadas em incidentes anteriores combinada com ataques de password spraying e brute force contra equipamentos com senhas fracas e sem autenticação multifator. Esse tipo de operação mostra como infraestruturas que protegem operações diárias em governos, empresas e setores essenciais podem ser comprometidas sem que uma única vulnerabilidade nova seja explorada. ## A história por trás do FortiBleed: reutilização de credenciais antigas Quando observamos a evolução dos ataques contra dispositivos de borda como os FortiGate, percebemos que muitos incidentes seguem um padrão familiar desde os anos 2010: invasores coletam vazamentos públicos de senhas, testam automaticamente em alvos expostos e exploram configurações antigas que nunca receberam atualizações de firmware ou políticas de acesso rigorosas. No caso do FortiBleed, os atores por trás da campanha extraíram arquivos de configuração de firewalls voltados para a internet, quebraram os hashes de credenciais neles armazenados e validaram mais de 30 mil logins funcionais segundo dados da SOCRadar, com estimativas da Beaumont chegando a 75 mil dispositivos afetados, o que representa cerca de metade de todos os FortiGate acessíveis publicamente conforme levantamentos do Shodan. A Fortinet enfatiza em seu posicionamento que essa atividade se baseia em incidentes passados, como os referenciados em FG-IR-26-060 e FG-IR-25-647, e não em qualquer falha nova descoberta agora, o que reforça a importância de manter firmware atualizado e senhas rotacionadas regularmente. ## O posicionamento oficial da Fortinet e as ações em curso A empresa, por meio de seu time de PSIRT, publicou análise detalhada esclarecendo que os invasores dependem de credenciais reutilizadas e técnicas de força bruta contra dispositivos com higiene de senhas inadequada e ausência de MFA, medidas que a própria Fortinet recomenda desde faz tempo. A Fortinet já identificou os sistemas potencialmente comprometidos, iniciou o contato direto com as organizações afetadas e colabora com autoridades policiais internacionais para rastrear os responsáveis, que incluem pelo menos um ator em fóruns de cibercrime de língua russa vendendo acesso relacionado à campanha. Essa resposta rápida demonstra como fabricantes de equipamentos de segurança precisam atuar não apenas como fornecedores de tecnologia, mas também como guardiões de ecossistemas que sustentam transações financeiras, comunicações governamentais e serviços críticos em todo o mundo. ## Medidas práticas que as organizações devem adotar agora Entre as recomendações divulgadas pela Fortinet estão o encerramento imediato de todas as sessões ativas de VPN e administração, a rotação completa de todas as senhas de infraestrutura, a implementação obrigatória de MFA resistente a phishing e a atualização de firmware para versões que forçam exclusivamente o uso de criptografia PBKDF2, como FortiOS 7.2.11, 7.4.8 e 7.6.1. Além disso, as empresas devem revisar logs de auditoria para identificar tentativas suspeitas e garantir que nenhum dispositivo permaneça com configurações de acesso frágeis expostas à internet. Essas ações, embora pareçam simples, são exatamente o tipo de manutenção que impede que ataques automatizados como o FortiBleed tenham sucesso em larga escala. ## Por que esse episódio importa para quem gerencia redes críticas Firewalls como o FortiGate funcionam como guardiões silenciosos de redes corporativas e governamentais, processando tráfego e autenticando acessos remotos de forma semelhante a como sistemas legados ainda sustentam operações bancárias diárias em grandes centros financeiros. Quando uma campanha consegue validar dezenas de milhares de credenciais sem precisar de uma vulnerabilidade zero-day, fica evidente que a superfície de ataque mais perigosa continua sendo a combinação de senhas fracas com falta de autenticação em duas etapas. O FortiBleed não é um caso isolado, mas parte de uma história mais longa de ataques que exploram o descuido humano e a inércia na atualização de equipamentos que, uma vez configurados, muitas vezes permanecem anos sem manutenção adequada.