FortiBleed: Vazamento de dados expõe 74.000 credenciais de firewalls Fortinet em ataques ativos
TL;DR
FortiBleed: Como 74.000 firewalls Fortinet se tornaram uma porta aberta para hackers
O mundo da segurança está abalado com o "FortiBleed", uma campanha massiva de coleta de credenciais que entregou, na prática, as chaves do reino para cibercriminosos. Não estamos falando de uma falha menor; estamos olhando para 73.932 sistemas de firewall Fortinet FortiGate em 194 países que tiveram suas credenciais administrativas e de VPN expostas. De agências governamentais a gigantes do setor corporativo multinacional, as consequências são impressionantes. Dados de configuração sensíveis e tokens de autenticação estão sendo negociados como figurinhas em fóruns criminosos.
O poder por trás desta operação? Um grupo de ameaças de língua russa que não apenas tropeçou nessas credenciais — eles construíram um equipamento de cracking offline de alta potência com 45 GPUs, especificamente para decifrar hashes de autenticação SSL VPN interceptados. Pesquisadores de segurança da Bitsight confirmaram que isso não é apenas teoria. Hackers oportunistas e atores sofisticados patrocinados por estados já estão usando esses dados para invadir ambientes internos do Active Directory.
O "Pecado Original" Técnico
No centro da confusão do FortiBleed está a forma como versões mais antigas do FortiOS lidavam com o hashing de senhas. Descobriu-se que, mesmo após a aplicação de atualizações de firmware, as senhas de administrador frequentemente permaneciam no sistema como hashes SHA-256 fracos. Eles não eram atualizados automaticamente para o padrão PBKDF2, muito mais robusto, até que um usuário fizesse login fisicamente. Essa pequena lacuna — essa janela de "espera por um login" — deu aos atacantes todo o tempo necessário para coletar os hashes e quebrá-los conforme sua conveniência.
A escala é, francamente, nauseante. Esses atores lançaram mais de 1,16 bilhão de tentativas de credenciais contra alvos FortiGate, com outros 2,1 bilhões direcionados a sistemas MSSQL. Com aquele cluster de 45 GPUs operando em segundo plano, eles validaram com sucesso credenciais para 73.932 URLs de firewall únicas em mais de 21.600 domínios distintos. Os dados são reais e perigosos. Pesquisadores como a Hudson Rock têm rastreado a propagação, e o consenso é claro: a exposição é ampla e sistêmica.
Quem está na mira?
Cerca de metade de todas as unidades FortiGate acessíveis pela internet globalmente estão envolvidas nisso. A lista de vítimas parece uma lista da Fortune 500 — Samsung, Siemens e Oracle estão todas na mistura, juntamente com vários órgãos governamentais. Em um incidente particularmente assustador, os atacantes usaram essas credenciais roubadas para entrar na rede de um contratante de defesa da OTAN, saindo com documentos confidenciais sensíveis.
Uma vez dentro, eles não ficam parados. Eles estão implantando um kit de ferramentas padrão projetado para manter a persistência e mapear a rede interna. Se você é um administrador de sistemas, estes são os nomes que você precisa procurar:
- Chisel: Um túnel TCP/UDP rápido sobre HTTP que faz com que contornar restrições de firewall pareça brincadeira de criança.
- Neo-reGeorg: Um web shell perigoso usado para pivô e reconhecimento profundo.
- EternalBlue: A escolha clássica para movimentação lateral e escalonamento de privilégios assim que encontram um ponto de apoio.
| Métrica | Detalhe |
|---|---|
| Dispositivos Afetados | 73.932 URLs FortiGate únicas |
| Alcance Global | 194 países |
| Vulnerabilidade Primária | Hashing de senha SHA-256 fraco |
| Infraestrutura de Ataque | Cluster de 45 GPUs |
| Atividade Observada | Exfiltração ativa de dados do AD interno |
Limpando a bagunça
Se você está usando FortiGate, precisa verificar o status do seu firmware imediatamente. A vulnerabilidade atinge dispositivos que executam versões do FortiOS anteriores à 7.2.11, 7.4.8 e 7.6.1. Não acredite apenas na nossa palavra; verifique os feeds de inteligência de ameaças cibernéticas para ver se sua infraestrutura já faz parte dos conjuntos de dados vazados que circulam online.
A correção é direta, mas trabalhosa: atualize seu firmware para as versões corrigidas mais recentes. Essas versões forçam a mudança para um hashing de senha mais forte. Além disso, você precisa auditar suas contas de administrador e logs de VPN em busca de qualquer coisa que pareça minimamente suspeita. Como a Recorded Future apontou, esses atores não vão desaparecer. Você precisa rotacionar todas as credenciais que possui e aplicar a autenticação multifator (MFA) em cada interface de gerenciamento exposta à internet pública.
A descoberta do servidor que hospeda essa lista massiva de credenciais é creditada ao pesquisador Volodymyr "Bob" Diachenko. Seu trabalho ressalta uma realidade brutal: confiar em métodos de hashing legados em equipamentos de nível empresarial é uma receita para o desastre. Se o seu dispositivo FortiGate voltado para a internet não foi atualizado recentemente, você deve assumir que ele já foi comprometido.
A campanha é fluida. Esses grupos mudam de tática no momento em que sentem pressão. Sua melhor defesa é um ciclo implacável de patching e um olhar paranoico sobre o tráfego da sua rede. Fique atento ao Chisel ou Neo-reGeorg, monitore seu tráfego de saída em busca de anomalias e observe qualquer sinal de movimento lateral. Após um vazamento desse tamanho, uma segurança "boa o suficiente" não será o bastante.
