86.000 credenciais VPN Fortinet expostas: o que os utilizadores corporativos devem fazer agora

Mais de 86.000 credenciais de firewalls e gateways VPN Fortinet FortiGate foram expostas numa campanha de ataque em grande escala que os investigadores chamam FortiBleed. Descoberta em junho de 2026, a operacao produziu uma base de dados verificada contendo mais de 86.644 credenciais de inicio de sessao confirmadas e funcionais, recolhidas de infraestrutura Fortinet acessivel pela internet em 194 paises. A Agencia de Ciberseguranca e Seguranca de Infraestruturas dos EUA (CISA) emitiu um alerta de emergencia a 18 de junho de 2026. Para as organizacoes que dependem do FortiGate VPN para acesso remoto, a janela de resposta antes de os atacantes penetrarem mais profundamente nas redes corporativas e estreita.

O que e o FortiBleed - e o que nao e

O FortiBleed nao e uma unica vulnerabilidade recentemente descoberta. E uma campanha operacional que combinou tres metodos de ataque: reutilizacao de credenciais de violacoes de dados anteriores, cracking de hashes SHA-256 usando um cluster de computacao com 45 GPUs e ataques de forca bruta em grande escala. Os investigadores que acompanham a operacao estimam que os atacantes realizaram aproximadamente 1,16 mil milhoes de tentativas de credenciais contra 320.777 alvos FortiGate acessiveis pela internet antes de montarem o conjunto de dados verificado.

Segundo os investigadores, a operacao foi conduzida por um grupo de ameacas multi-operador de lingua russa. A presenca de ferramentas de tunelamento associadas a entidades estatais - especificamente Chisel e Neo-reGeorg - na atividade de exploracao relacionada sugere que o pool de credenciais nao e utilizado exclusivamente por criminosos de baixo nivel. Atores de ameacas sofisticados e bem dotados de recursos tambem recolhem do mesmo conjunto de dados para realizar intrusoes direcionadas contra redes governamentais e infraestruturas criticas.

Os dados vazados, que incluem credenciais de administrador e informacoes de configuracao VPN, estariam a circular em comunidades clandestinas criminosas. Como os dispositivos FortiGate servem como gateway de perimetro para redes corporativas, as credenciais comprometidas dao aos atacantes acesso autenticado aos sistemas internos, sem necessidade de explorar vulnerabilidades adicionais uma vez dentro.

Escala: metade de todos os dispositivos FortiGate acessiveis pela internet

Investigadores de seguranca independentes que compararam o conjunto de dados FortiBleed com dados do Shodan estimam que as credenciais expostas cobrem aproximadamente 50 por cento de todos os dispositivos firewall Fortinet atualmente alcancaveis pela internet. Os 86.644 sistemas afetados estao distribuidos por 194 paises, incluindo redes de agencias governamentais, organizacoes de saude, instituicoes financeiras e operadores de infraestruturas criticas.

Relatorios anteriores do BleepingComputer e Help Net Security colocaram a contagem inicial em cerca de 73.000 dispositivos com base na analise inicial do conjunto de dados. A verificacao posterior por equipas de seguranca adicionais, incluindo o aviso tecnico da Bitdefender, confirmou o numero mais elevado de mais de 86.000. A discrepancia reflete o trabalho de deduplicacao em curso enquanto os investigadores cruzam multiplas fontes dos dados em circulacao.

Porque e que o FortiGate VPN e um alvo de alto valor

Os dispositivos FortiGate estao entre os appliances de seguranca de perimetro mais amplamente implementados em ambientes empresariais a nivel mundial. Muitas organizacoes configuram-nos como gateway SSL VPN principal para acesso de funcionarios remotos, tornando-os intencionalmente acessiveis pela internet. Esta acessibilidade e operacionalmente necessaria, mas tambem significa que estes dispositivos enfrentam a forca total de varreduras automatizadas e testes de credenciais em grande escala.

A combinacao de uma grande superficie de ataque, a prevalencia de credenciais predefinidas ou reutilizadas e o alto valor do que se encontra por detras de um FortiGate comprometido faz da infraestrutura Fortinet um alvo prioritario constante para atores de ameacas organizados. O FortiBleed nao e a primeira campanha massiva de comprometimento de credenciais visando dispositivos Fortinet: um vazamento semelhante no inicio de 2024 expor as credenciais de aproximadamente 15.000 sistemas FortiGate usando a mesma metodologia de reutilizacao e forca bruta.

As orientacoes de emergencia da CISA

O alerta da CISA de 18 de junho indica que a agencia esta ciente de relatorios globais de que atores ciberneticos maliciosos visaram dispositivos Fortinet acessiveis pela internet usando credenciais comprometidas. O alerta nao atribui a campanha a um ator especifico ligado a um Estado, mas as acoes recomendadas indicam urgencia coerente com exploracao ativa.

As recomendacoes especificas da CISA incluem: encerrar imediatamente todas as sessoes VPN ativas e forcar a re-autenticacao; redefinir todas as credenciais de administrador e utilizadores VPN; rever os registos de acesso para sinais de acesso nao autorizado, horarios de sessao incomuns ou contas de administrador criadas recentemente; garantir que as palavras-passe de administrador sao armazenadas usando o algoritmo PBKDF2; ativar a autenticacao multi-fator (MFA) resistente a phishing para todo o acesso VPN; e restringir o acesso a interface de gestao apenas a redes internas ou de gestao dedicadas.

Para organizacoes que nao conseguem completar todos os passos imediatamente, a CISA prioriza o encerramento de sessoes e a redefinicao de credenciais como as acoes iniciais mais criticas, especificamente porque os atacantes com credenciais validas podem manter persistencia mesmo que o metodo subjacente de recolha de credenciais seja posteriormente bloqueado.

O que isto significa para a seguranca VPN em geral

O FortiBleed ilustra o risco mais fundamental na arquitetura VPN de perimetro: uma credencial e o perimetro. Ao contrario das vulnerabilidades da camada de aplicacao que requerem o desenvolvimento de exploits tecnicos, o comprometimento de credenciais requer apenas o conhecimento de um nome de utilizador e palavra-passe validos. Nenhum ciclo de patches, nenhuma resposta a dia zero, nenhuma regra de firewall pode deter uma tentativa de inicio de sessao que apresenta credenciais legitimas.

Este e o argumento motivador por detras da transicao da industria para a arquitetura Zero Trust, onde o acesso autenticado a um gateway VPN nao confere automaticamente acesso a recursos internos. Segundo os principios Zero Trust, cada pedido de acesso a aplicacoes e verificado independentemente com autenticacao forte, independentemente de o pedido ter origem dentro ou fora do perimetro da rede corporativa. O FortiBleed e um estudo de caso sobre porque esta mudanca arquitetural importa.

Para organizacoes que ainda nao estao no caminho Zero Trust, a resposta pratica imediata e a mesma independentemente da arquitetura: MFA em todo o acesso VPN, monitorizacao ativa de registos e um ciclo de redefinicao de credenciais que nao espera por uma violacao confirmada antes de agir.