Uma campanha conhecida como FortiBleed acendeu um alerta global para empresas que utilizam dispositivos Fortinet FortiGate, especialmente em ambientes com VPN SSL, interfaces administrativas expostas à internet e políticas fracas de autenticação. O caso chamou atenção porque envolve credenciais administrativas e de VPN associadas a dezenas de milhares de firewalls FortiGate, com impacto relatado em organizações de diferentes setores e países.
Diferente de uma vulnerabilidade tradicional, o FortiBleed não deve ser tratado apenas como “mais uma falha para corrigir com patch”. A própria Fortinet afirma que, até o momento, a atividade não está relacionada a uma nova vulnerabilidade da empresa nem a um advisory recente, mas sim a uma campanha de coleta de credenciais envolvendo reutilização de senhas, ataques de força bruta e ausência de autenticação multifator em dispositivos expostos.

O que é o FortiBleed?
FortiBleed é o nome dado a uma campanha de exposição e possível comercialização de credenciais ligadas a dispositivos Fortinet FortiGate. Relatórios de threat intelligence apontam que o conjunto de dados inclui credenciais administrativas e de VPN SSL para aproximadamente 73 mil a 75 mil sistemas FortiGate, distribuídos em 194 países.
O caso ganhou repercussão após a descoberta de um diretório exposto na internet contendo dados associados a dispositivos Fortinet. Segundo publicações especializadas, o material incluía URLs de firewalls, usuários, e-mails e senhas em texto claro ou credenciais aparentemente válidas. Partes do conjunto de dados foram analisadas por pesquisadores independentes, que confirmaram a autenticidade de algumas credenciais testadas.
Na prática, isso significa que o risco não está limitado ao firewall em si. Uma credencial válida de VPN ou de administração pode se transformar em uma porta de entrada para a rede interna da empresa, permitindo alterações de configuração, criação de contas, movimentação lateral, coleta de dados e preparação para ataques mais graves, incluindo ransomware.
FortiBleed é uma nova CVE?
Até o momento, não há confirmação de que o FortiBleed seja uma nova CVE. Esse é um ponto importante para evitar interpretações erradas.
A Fortinet publicou uma análise afirmando que o caso não representa uma nova vulnerabilidade da empresa e não está ligado a um incidente ou advisory recente. Segundo a companhia, a atividade observada envolve o reaproveitamento de credenciais de incidentes anteriores e técnicas de força bruta contra dispositivos com higiene fraca de senhas e sem MFA.
Isso não reduz a gravidade do caso. Pelo contrário: torna a resposta mais complexa. Em uma vulnerabilidade comum, a correção costuma seguir uma lógica direta: identificar a versão afetada, aplicar o patch e validar a mitigação. No FortiBleed, a pergunta principal é outra: as credenciais da organização já foram expostas, reutilizadas, quebradas ou mantidas válidas depois de algum incidente anterior?
Por que o risco é tão alto?
Firewalls e VPNs ocupam uma posição extremamente sensível na infraestrutura de uma empresa. Eles controlam acessos externos, conexões remotas, regras de tráfego, segmentação de rede e, em muitos casos, o caminho de entrada para sistemas internos críticos.
Quando uma credencial de firewall ou VPN é comprometida, o invasor pode não precisar explorar uma falha sofisticada. Basta usar um acesso legítimo. Isso dificulta a detecção, porque o tráfego pode parecer uma conexão autorizada de administrador ou usuário remoto.
Entre os principais riscos estão:
-
acesso indevido à rede interna;
-
alteração de regras de firewall;
-
criação de usuários administrativos;
-
desativação de mecanismos de segurança;
-
roubo de configurações;
-
captura de credenciais adicionais;
-
movimentação lateral para servidores internos;
-
preparação para ataques de ransomware.
Pesquisadores também apontaram que muitos dispositivos afetados estavam online no momento da divulgação e que parte deles mantinha interfaces de gerenciamento expostas diretamente à internet, uma condição que aumenta significativamente a superfície de ataque.
O que a Fortinet recomenda?
A Fortinet recomenda que organizações potencialmente afetadas encerrem sessões administrativas e de VPN ativas, redefinam credenciais, apliquem políticas fortes de senha, habilitem autenticação multifator para contas administrativas e de VPN, e atualizem os dispositivos para versões recentes do FortiOS. A empresa também destaca versões que oferecem suporte a hashing PBKDF2 para credenciais administrativas.
Além disso, a CISA emitiu alerta recomendando o endurecimento de dispositivos Fortinet após os relatos de exposição de credenciais associadas a aproximadamente 74 mil equipamentos.
Para empresas que utilizam FortiGate, a resposta não deve se limitar à troca de senha de uma única conta. É necessário revisar todo o ambiente, incluindo contas administrativas, VPNs, integrações, logs, usuários criados recentemente, alterações de configuração e possíveis sinais de movimentação lateral.
Medidas que as empresas devem tomar agora
A primeira medida é identificar se existem dispositivos Fortinet expostos à internet, especialmente interfaces administrativas acessíveis publicamente. A exposição direta do painel de gerenciamento aumenta o risco de ataques automatizados, tentativas de força bruta e exploração de credenciais vazadas.
Em seguida, a empresa deve redefinir todas as senhas administrativas e de VPN, principalmente em dispositivos FortiGate acessíveis externamente. Essa troca deve ser acompanhada da revogação de sessões ativas, porque uma sessão já autenticada pode continuar válida mesmo após mudanças pontuais de configuração.
Também é essencial habilitar MFA para administradores e usuários de VPN. A autenticação multifator não elimina todos os riscos, mas reduz drasticamente a chance de uma senha vazada se transformar em acesso real ao ambiente.
Outro ponto importante é revisar logs. A equipe de TI ou segurança deve procurar por logins fora de horário, acessos de países incomuns, criação de usuários desconhecidos, alterações recentes em regras de firewall, mudanças em políticas de VPN e qualquer comportamento incompatível com a rotina da organização.
Por fim, a organização deve manter o FortiOS atualizado e seguir as recomendações oficiais da Fortinet para hardening, autenticação e proteção de credenciais.
FortiBleed mostra que senha ainda é um ponto crítico
O caso FortiBleed reforça uma realidade conhecida, mas ainda negligenciada: senhas continuam sendo um dos principais pontos de falha em ambientes corporativos. Mesmo empresas com firewalls robustos podem ficar expostas quando interfaces administrativas estão abertas, credenciais são reutilizadas, MFA não é obrigatório ou contas antigas permanecem ativas.
A defesa contra esse tipo de ameaça depende de uma combinação de medidas: controle de exposição externa, revisão contínua de acessos, autenticação forte, monitoramento de logs e resposta rápida quando há suspeita de comprometimento.
O FortiBleed não deve ser tratado apenas como um vazamento isolado de credenciais. Ele representa um alerta sobre a forma como empresas expõem e administram seus dispositivos de borda, especialmente firewalls e VPNs.
Mesmo sem uma nova CVE confirmada, o risco é alto porque credenciais válidas podem permitir acesso direto ao ambiente corporativo. Para organizações que utilizam Fortinet FortiGate, a recomendação é agir imediatamente: revisar exposição, trocar credenciais, encerrar sessões, habilitar MFA, atualizar dispositivos e investigar possíveis sinais de acesso indevido.
Em segurança da informação, o maior problema nem sempre é uma nova vulnerabilidade. Às vezes, o acesso que o atacante precisa já existe e está protegido apenas por uma senha reutilizada, fraca ou vazada.