FortiBleed: Vazamento Expõe Credenciais de 73.932 Firewalls Fortinet em 194 Países
Em 12 de junho de 2026, o pesquisador de segurança Volodymyr Diachenko — conhecido por descobrir bancos de dados expostos na internet — encontrou um servidor mal configurado contendo o que parecia ser uma coleção massiva de credenciais válidas de dispositivos Fortinet. O que ele descobriu rapidamente ficou conhecido como FortiBleed: um conjunto de dados com usuários, e-mails e senhas em texto claro para 73.932 firewalls FortiGate distribuídos por 194 países — aproximadamente metade de todos os dispositivos FortiGate acessíveis pela internet no planeta.
Diachenko verificou a autenticidade dos dados de forma independente com os pesquisadores Hudson Rock e Kevin Beaumont, confirmando que as credenciais eram reais e funcionais.
A escala do vazamento
Os números impressionam:
- 73.932 firewalls FortiGate com credenciais expostas
- 21.632 domínios organizacionais únicos afetados
- 194 países impactados
- Organizações como Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Siemens, Lenovo, PwC, Accenture e Oracle identificadas no dataset
- Agências governamentais e operadores de infraestrutura crítica em múltiplos países
Ao menos quatro organizações estão confirmadas como totalmente comprometidas — incluindo um contratante de defesa turco da OTAN, do qual documentos militares classificados foram exfiltrados. As outras vítimas confirmadas estão no Japão, Taiwan/Vietnã e Iraque.
Como o ataque funciona
Segundo a análise de Diachenko e pesquisadores que examinaram a infraestrutura do grupo, o método de ataque segue uma cadeia bem definida:
1. Interceptação de hashes SSL VPN
O grupo realiza varreduras massivas e automatizadas em dispositivos FortiGate expostos à internet, interceptando os hashes de autenticação SSL VPN durante o processo de login. Esses hashes são versões criptografadas das senhas — não as senhas em si, mas que podem ser quebradas.
2. Quebra de hashes em cluster de GPUs
Os hashes coletados são enviados para um cluster de 45 GPUs gerenciado via Hashtopolis — uma plataforma open source para distribuição de tarefas de quebra de hashes. Com esse poder computacional, senhas fracas ou moderadas são quebradas em questão de horas ou dias.
3. Pivô para o Active Directory
Com as credenciais de administrador do FortiGate em mãos, o grupo pivota para o ambiente interno das organizações, acessando o Active Directory (AD) para escalar privilégios, criar backdoors e exfiltrar dados sensíveis de forma silenciosa.
A natureza automatizada do ataque — varredura, interceptação, quebra, acesso — é o que explica a escala inédita: dezenas de milhares de dispositivos comprometidos sistematicamente.
Por que “FortiBleed”?
O nome foi cunhado pela comunidade de segurança em referência ao Heartbleed (2014), a vulnerabilidade catastrófica no OpenSSL que “sangrava” dados da memória de servidores. No FortiBleed, a analogia é direta: credenciais de administrador “vazam” continuamente dos dispositivos FortiGate para as mãos de atacantes, comprometendo silenciosamente redes corporativas ao redor do mundo.
A ironia é pesada: a Fortinet é uma das maiores empresas de cibersegurança do mundo, e seus firewalls são adotados justamente para proteger redes corporativas.
Origem dos dados: ainda incerta
Uma questão central permanece em aberto: como os hashes foram obtidos? As hipóteses investigadas incluem:
- Exploração de vulnerabilidades anteriores do FortiGate (como CVE-2023-27997 ou CVE-2024-21762), que permitiam acesso não autenticado a dispositivos
- Uma vulnerabilidade nova ainda não divulgada (zero-day)
- Dispositivos com interfaces de administração expostas à internet sem proteção adequada
A Fortinet ainda não publicou, até a data deste artigo, um comunicado oficial confirmando a origem exata do vazamento.
Impacto para empresas brasileiras
O Brasil é um dos maiores mercados da Fortinet na América Latina. O dataset foi organizado pelos atacantes por país, setor e receita organizacional — o que indica alvo seletivo e inteligência de ameaças ativa. Empresas brasileiras que utilizam FortiGate, FortiClient VPN, FortiManager ou FortiAnalyzer devem considerar seus dispositivos como potencialmente comprometidos até prova em contrário.
Sob a LGPD, caso dados pessoais de clientes ou funcionários tenham sido acessados via os sistemas comprometidos, a empresa tem obrigação de notificar a ANPD em prazo razoável e comunicar os titulares afetados.
O que fazer agora: checklist de resposta
Imediato (nas próximas 24 horas)
- Assumir comprometimento: trate seus dispositivos FortiGate como comprometidos e aja de acordo
- Trocar todas as credenciais de administração dos dispositivos Fortinet (painel web, SSH, API)
- Revogar e recriar todas as contas de VPN de usuários
- Revogar certificados SSL/TLS usados nos dispositivos e reemitir novos
- Isolar da internet as interfaces de administração do FortiGate — nenhum painel admin deve estar exposto diretamente
Curto prazo (esta semana)
- Atualizar o firmware para a versão mais recente disponível em docs.fortinet.com
- Ativar MFA em todos os acessos VPN e administração — o FortiAuthenticator suporta TOTP e integração com Azure AD
- Auditar contas no Active Directory: procure contas criadas recentemente, alterações de permissão e grupos modificados nos últimos 90 dias
- Revisar logs de autenticação VPN: acessos de IPs desconhecidos, países incomuns, horários atípicos
- Verificar regras de firewall: o atacante pode ter criado regras de acesso persistente
Médio prazo
- Contratar análise forense se houver suspeita de comprometimento do AD
- Implementar segmentação de rede mais granular — o acesso VPN não deve alcançar toda a rede interna
- Avaliar notificação à ANPD com assessoria jurídica especializada
- Monitorar o SOCRadar e feeds de threat intelligence para verificar se domínio da sua empresa aparece no dataset
Como verificar se sua empresa está no dataset
Pesquisadores estão disponibilizando ferramentas de verificação. Algumas fontes confiáveis para checar:
- Have I Been Pwned (haveibeenpwned.com): pode incorporar parte dos dados
- Hudson Rock Cavalier: ferramenta usada para verificação independente dos dados
- SOCRadar: publicou análise detalhada com indicadores de comprometimento
- Contato direto com o suporte Fortinet solicitando confirmação por escrito
Perguntas frequentes
Qual CVE está sendo explorado no FortiBleed? A vulnerabilidade de origem ainda não foi confirmada pela Fortinet. Pesquisadores investigam se envolve CVEs conhecidos (CVE-2023-27997, CVE-2024-21762) ou uma falha nova. Atualizar o firmware e restringir o acesso administrativo são medidas preventivas independente da CVE.
Pagar resgate ou negociar com os atacantes resolve? Não. O grupo já disponibilizou parte dos dados publicamente, e negociar com criminosos não garante que os dados não serão usados ou revendidos. Foque na contenção e recuperação.
Se minha empresa não foi notificada pela Fortinet, está segura? Não necessariamente. A Fortinet pode não ter visibilidade completa do incidente. Aplique as medidas de mitigação preventivamente.
Dispositivos FortiGate atrás de NAT, sem IP público direto, estão expostos? O risco é menor se o painel de administração e a VPN não estiverem acessíveis diretamente da internet. Verifique se há qualquer porta dos dispositivos Fortinet exposta externamente.
A Fortinet vai lançar um patch? Caso seja confirmada uma vulnerabilidade nova, sim. Monitore o canal oficial fortiguard.fortinet.com e o PSIRTAdvisory da Fortinet para comunicados.
O FortiBleed é o maior comprometimento documentado de firewalls corporativos em um único incidente. A resposta precisa ser proporcional: não espere confirmação formal da Fortinet ou notificação do seu provedor — aja agora, assuma comprometimento e siga o checklist. A janela de contenção está aberta, mas não por muito tempo.
Fontes e referências:
- BleepingComputer — FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices
- Help Net Security — 74,000 Fortinet firewall credentials exposed in FortiBleed data leak
- The Register — Massive password-stealing attack hits 75k Fortinet firewalls
- Arctic Wolf — Active FortiBleed Campaign Impacting Fortinet Devices Across 194 Countries
- SOCRadar — FortiBleed: The Compromise of 80,000+ Fortinet Firewalls
- CyberInsider — FortiBleed exposed admin credentials for 75,000 Fortinet firewalls worldwide
Alertas de Segurança
Sem spam. Cancele quando quiser. Ao se inscrever você concorda com nossa política de privacidade.
Equipe Saferinfo
Especialistas em cibersegurança dedicados a tornar a segurança digital acessível para todos os brasileiros. Nosso objetivo é educar e proteger.
Leia também
Engenharia Social: Táticas dos Hackers e Como se Proteger
Entenda as principais técnicas de engenharia social usadas por criminosos digitais no Brasil — do pretexting ao vishing — e aprenda como identificar e resistir a essas manipulações.
Como Identificar E-mails de Phishing: Guia Completo
Aprenda a reconhecer tentativas de phishing antes de clicar. Veja os sinais de alerta, exemplos reais e ferramentas gratuitas para se proteger de golpes por e-mail.