Uma campanha conhecida como FortiBleed acendeu um alerta global para empresas que utilizam dispositivos Fortinet FortiGate, especialmente em ambientes com VPN SSL, interfaces administrativas expostas à internet e políticas fracas de autenticação. O caso chamou atenção porque envolve credenciais administrativas e de VPN associadas a dezenas de milhares de firewalls FortiGate, com impacto relatado em organizações de diferentes setores e países.

Diferente de uma vulnerabilidade tradicional, o FortiBleed não deve ser tratado apenas como “mais uma falha para corrigir com patch”. A própria Fortinet afirma que, até o momento, a atividade não está relacionada a uma nova vulnerabilidade da empresa nem a um advisory recente, mas sim a uma campanha de coleta de credenciais envolvendo reutilização de senhas, ataques de força bruta e ausência de autenticação multifator em dispositivos expostos.

Firewall corporativo sob alerta de segurança representando o vazamento de credenciais FortiBleed.

O que é o FortiBleed?

FortiBleed é o nome dado a uma campanha de exposição e possível comercialização de credenciais ligadas a dispositivos Fortinet FortiGate. Relatórios de threat intelligence apontam que o conjunto de dados inclui credenciais administrativas e de VPN SSL para aproximadamente 73 mil a 75 mil sistemas FortiGate, distribuídos em 194 países.

O caso ganhou repercussão após a descoberta de um diretório exposto na internet contendo dados associados a dispositivos Fortinet. Segundo publicações especializadas, o material incluía URLs de firewalls, usuários, e-mails e senhas em texto claro ou credenciais aparentemente válidas. Partes do conjunto de dados foram analisadas por pesquisadores independentes, que confirmaram a autenticidade de algumas credenciais testadas.

Na prática, isso significa que o risco não está limitado ao firewall em si. Uma credencial válida de VPN ou de administração pode se transformar em uma porta de entrada para a rede interna da empresa, permitindo alterações de configuração, criação de contas, movimentação lateral, coleta de dados e preparação para ataques mais graves, incluindo ransomware.

FortiBleed é uma nova CVE?

Até o momento, não há confirmação de que o FortiBleed seja uma nova CVE. Esse é um ponto importante para evitar interpretações erradas.

A Fortinet publicou uma análise afirmando que o caso não representa uma nova vulnerabilidade da empresa e não está ligado a um incidente ou advisory recente. Segundo a companhia, a atividade observada envolve o reaproveitamento de credenciais de incidentes anteriores e técnicas de força bruta contra dispositivos com higiene fraca de senhas e sem MFA.

Isso não reduz a gravidade do caso. Pelo contrário: torna a resposta mais complexa. Em uma vulnerabilidade comum, a correção costuma seguir uma lógica direta: identificar a versão afetada, aplicar o patch e validar a mitigação. No FortiBleed, a pergunta principal é outra: as credenciais da organização já foram expostas, reutilizadas, quebradas ou mantidas válidas depois de algum incidente anterior?

Por que o risco é tão alto?

Firewalls e VPNs ocupam uma posição extremamente sensível na infraestrutura de uma empresa. Eles controlam acessos externos, conexões remotas, regras de tráfego, segmentação de rede e, em muitos casos, o caminho de entrada para sistemas internos críticos.

Quando uma credencial de firewall ou VPN é comprometida, o invasor pode não precisar explorar uma falha sofisticada. Basta usar um acesso legítimo. Isso dificulta a detecção, porque o tráfego pode parecer uma conexão autorizada de administrador ou usuário remoto.

Entre os principais riscos estão:

  • acesso indevido à rede interna;

  • alteração de regras de firewall;

  • criação de usuários administrativos;

  • desativação de mecanismos de segurança;

  • roubo de configurações;

  • captura de credenciais adicionais;

  • movimentação lateral para servidores internos;

  • preparação para ataques de ransomware.

Pesquisadores também apontaram que muitos dispositivos afetados estavam online no momento da divulgação e que parte deles mantinha interfaces de gerenciamento expostas diretamente à internet, uma condição que aumenta significativamente a superfície de ataque.

O que a Fortinet recomenda?

A Fortinet recomenda que organizações potencialmente afetadas encerrem sessões administrativas e de VPN ativas, redefinam credenciais, apliquem políticas fortes de senha, habilitem autenticação multifator para contas administrativas e de VPN, e atualizem os dispositivos para versões recentes do FortiOS. A empresa também destaca versões que oferecem suporte a hashing PBKDF2 para credenciais administrativas.

Além disso, a CISA emitiu alerta recomendando o endurecimento de dispositivos Fortinet após os relatos de exposição de credenciais associadas a aproximadamente 74 mil equipamentos.

Para empresas que utilizam FortiGate, a resposta não deve se limitar à troca de senha de uma única conta. É necessário revisar todo o ambiente, incluindo contas administrativas, VPNs, integrações, logs, usuários criados recentemente, alterações de configuração e possíveis sinais de movimentação lateral.

Medidas que as empresas devem tomar agora

A primeira medida é identificar se existem dispositivos Fortinet expostos à internet, especialmente interfaces administrativas acessíveis publicamente. A exposição direta do painel de gerenciamento aumenta o risco de ataques automatizados, tentativas de força bruta e exploração de credenciais vazadas.

Em seguida, a empresa deve redefinir todas as senhas administrativas e de VPN, principalmente em dispositivos FortiGate acessíveis externamente. Essa troca deve ser acompanhada da revogação de sessões ativas, porque uma sessão já autenticada pode continuar válida mesmo após mudanças pontuais de configuração.

Também é essencial habilitar MFA para administradores e usuários de VPN. A autenticação multifator não elimina todos os riscos, mas reduz drasticamente a chance de uma senha vazada se transformar em acesso real ao ambiente.

Outro ponto importante é revisar logs. A equipe de TI ou segurança deve procurar por logins fora de horário, acessos de países incomuns, criação de usuários desconhecidos, alterações recentes em regras de firewall, mudanças em políticas de VPN e qualquer comportamento incompatível com a rotina da organização.

Por fim, a organização deve manter o FortiOS atualizado e seguir as recomendações oficiais da Fortinet para hardening, autenticação e proteção de credenciais.

FortiBleed mostra que senha ainda é um ponto crítico

O caso FortiBleed reforça uma realidade conhecida, mas ainda negligenciada: senhas continuam sendo um dos principais pontos de falha em ambientes corporativos. Mesmo empresas com firewalls robustos podem ficar expostas quando interfaces administrativas estão abertas, credenciais são reutilizadas, MFA não é obrigatório ou contas antigas permanecem ativas.

A defesa contra esse tipo de ameaça depende de uma combinação de medidas: controle de exposição externa, revisão contínua de acessos, autenticação forte, monitoramento de logs e resposta rápida quando há suspeita de comprometimento.

O FortiBleed não deve ser tratado apenas como um vazamento isolado de credenciais. Ele representa um alerta sobre a forma como empresas expõem e administram seus dispositivos de borda, especialmente firewalls e VPNs.

Mesmo sem uma nova CVE confirmada, o risco é alto porque credenciais válidas podem permitir acesso direto ao ambiente corporativo. Para organizações que utilizam Fortinet FortiGate, a recomendação é agir imediatamente: revisar exposição, trocar credenciais, encerrar sessões, habilitar MFA, atualizar dispositivos e investigar possíveis sinais de acesso indevido.

Em segurança da informação, o maior problema nem sempre é uma nova vulnerabilidade. Às vezes, o acesso que o atacante precisa já existe e está protegido apenas por uma senha reutilizada, fraca ou vazada.

 

Segurança da Informação
03 de jul. de 2026
Vulnerabilidades
23 de jun. de 2026
Supply Chain
09 de jun. de 2026
Threat Intelligence
25 de mai. de 2026
Threat Intelligence
13 de mai. de 2026
Threat Intelligence
07 de mai. de 2026
Vulnerabilidades
04 de mai. de 2026
Constituição de Cibersegurança
17 de abr. de 2026
Segurança da Informação
14 de abr. de 2026
Produtividade
07 de abr. de 2026
Produtividade
31 de mar. de 2026
Supply Chain
26 de mar. de 2026
Threat Intelligence
25 de mar. de 2026
Malware
23 de mar. de 2026
Constituição de Cibersegurança
12 de mar. de 2026
Governança & Tecnologia
09 de mar. de 2026
Segurança da Informação
04 de mar. de 2026
Malware
23 de fev. de 2026
Segurança da Informação
13 de fev. de 2026
Constituição de Cibersegurança
05 de fev. de 2026
Segurança da Informação
28 de jan. de 2026
Governança & Tecnologia
16 de jan. de 2026
Golpes Digitais
14 de jan. de 2026
Segurança da Informação
12 de jan. de 2026
Constituição de Cibersegurança
08 de jan. de 2026
Produtividade
15 de dez. de 2025
Malware
08 de dez. de 2025
Leaks
03 de dez. de 2025
Segurança da Informação
25 de nov. de 2025
Ataques Hackers
19 de nov. de 2025
Segurança da Informação
18 de nov. de 2025
Ataques Hackers
17 de nov. de 2025
Governança & Tecnologia
14 de nov. de 2025
Segurança da Informação
13 de nov. de 2025
Governança & Tecnologia
11 de nov. de 2025
Governança & Tecnologia
05 de nov. de 2025
Boas Práticas
04 de nov. de 2025
Malware
03 de nov. de 2025
Governança & Tecnologia
30 de out. de 2025
Ataques Hackers
29 de out. de 2025
Leaks
28 de out. de 2025
Boas Práticas
27 de out. de 2025
Ataques Hackers
23 de out. de 2025
Ataques Hackers
20 de out. de 2025
Ataques Hackers
17 de out. de 2025
Malware
16 de out. de 2025
Ataques Hackers
15 de out. de 2025
Golpes Digitais
10 de out. de 2025
Segurança da Informação
07 de out. de 2025
Malware
02 de out. de 2025
Segurança da Informação
30 de set. de 2025
Constituição de Cibersegurança
29 de set. de 2025
Segurança da Informação
26 de set. de 2025
Malware
19 de set. de 2025
Ataques Hackers
18 de set. de 2025
Constituição de Cibersegurança
15 de set. de 2025
Malware
11 de set. de 2025
Segurança da Informação
09 de set. de 2025
Produtividade
01 de set. de 2025
Leaks
29 de ago. de 2025
Boas Práticas
27 de ago. de 2025
Golpes Digitais
25 de ago. de 2025
Segurança da Informação
18 de ago. de 2025
Malware
11 de ago. de 2025
Golpes Digitais
07 de ago. de 2025
Segurança da Informação
04 de ago. de 2025
Malware
31 de jul. de 2025
Produtividade
28 de jul. de 2025
Golpes Digitais
24 de jul. de 2025
Malware
21 de jul. de 2025
Malware
17 de jul. de 2025
Ataques Hackers
10 de jul. de 2025
Boas Práticas
07 de jul. de 2025
Boas Práticas
03 de jul. de 2025
Produtividade
30 de jun. de 2025
Constituição de Cibersegurança
26 de jun. de 2025
Leaks
23 de jun. de 2025
Leaks
16 de jun. de 2025
Malware
12 de jun. de 2025
Constituição de Cibersegurança
05 de jun. de 2025
Ataques Hackers
02 de jun. de 2025
Produtividade
29 de mai. de 2025
Segurança da Informação
26 de mai. de 2025
Segurança da Informação
22 de mai. de 2025
Constituição de Cibersegurança
19 de mai. de 2025
Segurança da Informação
14 de mai. de 2025
Segurança da Informação
08 de mai. de 2025
Golpes Digitais
06 de mai. de 2025
Constituição de Cibersegurança
02 de mai. de 2025
Ataques Hackers
28 de abr. de 2025
Constituição de Cibersegurança
24 de abr. de 2025
Golpes Digitais
22 de abr. de 2025
Golpes Digitais
14 de abr. de 2025
Ataques Hackers
21 de fev. de 2025
Ataques Hackers
18 de fev. de 2025
Segurança da Informação
04 de fev. de 2025
Constituição de Cibersegurança
28 de jan. de 2025
Segurança da Informação
23 de jan. de 2025
Ataques Hackers
16 de jan. de 2025
Constituição de Cibersegurança
14 de jan. de 2025
Constituição de Cibersegurança
19 de dez. de 2024
Segurança da Informação
17 de dez. de 2024
Segurança da Informação
10 de dez. de 2024
Malware
06 de dez. de 2024
Constituição de Cibersegurança
03 de dez. de 2024
Boas Práticas
26 de nov. de 2024
Boas Práticas
19 de nov. de 2024
Segurança da Informação
12 de nov. de 2024
Boas Práticas
05 de nov. de 2024
Segurança da Informação
31 de out. de 2024
Segurança da Informação
29 de out. de 2024
Constituição de Cibersegurança
10 de out. de 2024
Segurança da Informação
03 de out. de 2024