Vazamento FortiBleed Afeta 86.000 Dispositivos Fortinet; CISA Alerta para Troca Urgente de Credenciais
Uma campanha de vazamento de dados, apelidada de FortiBleed, expôs credenciais de acesso a aproximadamente 86.644 dispositivos FortiGate e VPN da Fortinet em todo o mundo. A CISA emitiu um alerta urgente para que os proprietários troquem suas credenciais e reforcem a segurança.
MundiX News·26 de junho de 2026·4 min de leitura·👁 1 views
A Agência de Cibersegurança e Proteção de Infraestrutura dos EUA (CISA) emitiu um alerta urgente para proprietários de dispositivos FortiGate, recomendando a troca imediata de credenciais e o reforço das medidas de segurança. De acordo com dados atualizados, a campanha FortiBleed impactou 86.644 firewalls e gateways VPN em 194 países, comprometendo cerca de metade de toda a infraestrutura Fortinet acessível na internet. Este incidente destaca a criticidade da segurança de dispositivos de rede e a necessidade de vigilância constante contra ameaças cibernéticas.
O incidente veio à tona na semana passada, quando o especialista em segurança cibernética Bob Diachenko descobriu um servidor aberto na internet contendo um banco de dados com URLs de dezenas de milhares de dispositivos FortiGate e Fortinet VPN, juntamente com logins, endereços de e-mail e senhas em texto plano. Inicialmente, os pesquisadores estimaram cerca de 73.000 dispositivos comprometidos, mas a SOCRadar posteriormente elevou essa cifra para 86.644. A análise dos dados revelou que 35% dos registros no dump pertencem a contas administrativas típicas, 28,3% a contas de sistema internas da Fortinet e os restantes 36,7% a contas criadas pelas próprias organizações. Acredita-se que muitos proprietários de dispositivos não alteraram as credenciais padrão ou continuaram a usar senhas previamente comprometidas em outros vazamentos, facilitando o acesso dos atacantes.
As organizações mais afetadas pelo FortiBleed incluem empresas de telecomunicações, agências governamentais e instituições educacionais. Os países com o maior número de dispositivos comprometidos foram Índia, Estados Unidos, México, Colômbia e Tailândia. Os pesquisadores postulam que os atacantes realizaram varreduras massivas na internet em busca de interfaces de acesso remoto da Fortinet e, em seguida, empregaram ataques de força bruta automatizados com combinações conhecidas de logins e senhas. Após o acesso bem-sucedido, os invasores ganharam a capacidade de interceptar o tráfego que passava pelos dispositivos e coletar novas credenciais para futuras campanhas de ataque, possivelmente utilizando técnicas de exploit e payloads maliciosos. A investigação sugere que um grupo de hackers de língua russa pode estar por trás desta operação, com cerca de 1,16 bilhão de tentativas de login registradas contra mais de 320.000 sistemas FortiGate. Para quebrar os hashes interceptados, foi utilizado um cluster de 45 GPUs com o software Hashtopolis, e os acessos obtidos foram subsequentemente usados para penetrar em ambientes internos de Active Directory.
Especialistas da Huntress correlacionaram os endereços IP divulgados com sua telemetria, identificando 845 organizações parceiras afetadas. Kevin Beaumont, um renomado especialista em segurança, e a equipe da Hudson Rock também verificaram parte do banco de dados e confirmaram que muitas credenciais ainda estavam ativas e os dispositivos conectados à rede. Em resposta, a Fortinet declarou que a base de dados descoberta provavelmente combina informações de incidentes passados com os resultados de ataques de brute-force. A empresa enfatizou que o vazamento não está associado a nenhuma nova vulnerabilidade, mas mencionou que problemas como CVE-2026-24858, CVE-2025-59718 e CVE-2025-59719 podem ter sido utilizados para coletar as credenciais, ressaltando a importância de manter os sistemas atualizados e protegidos contra ameaças como phishing e ransomware.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A Agência de Cibersegurança e Proteção de Infraestrutura dos EUA (CISA) emitiu um alerta urgente para proprietários de dispositivos FortiGate, recomendando a troca imediata de credenciais e o reforço das medidas de segurança. De acordo com dados atualizados, a campanha FortiBleed impactou 86.644 firewalls e gateways VPN em 194 países, comprometendo cerca de metade de toda a infraestrutura Fortinet acessível na internet. Este incidente destaca a criticidade da segurança de dispositivos de rede e a necessidade de vigilância constante contra ameaças cibernéticas.
O incidente veio à tona na semana passada, quando o especialista em segurança cibernética Bob Diachenko descobriu um servidor aberto na internet contendo um banco de dados com URLs de dezenas de milhares de dispositivos FortiGate e Fortinet VPN, juntamente com logins, endereços de e-mail e senhas em texto plano. Inicialmente, os pesquisadores estimaram cerca de 73.000 dispositivos comprometidos, mas a SOCRadar posteriormente elevou essa cifra para 86.644. A análise dos dados revelou que 35% dos registros no dump pertencem a contas administrativas típicas, 28,3% a contas de sistema internas da Fortinet e os restantes 36,7% a contas criadas pelas próprias organizações. Acredita-se que muitos proprietários de dispositivos não alteraram as credenciais padrão ou continuaram a usar senhas previamente comprometidas em outros vazamentos, facilitando o acesso dos atacantes.
As organizações mais afetadas pelo FortiBleed incluem empresas de telecomunicações, agências governamentais e instituições educacionais. Os países com o maior número de dispositivos comprometidos foram Índia, Estados Unidos, México, Colômbia e Tailândia. Os pesquisadores postulam que os atacantes realizaram varreduras massivas na internet em busca de interfaces de acesso remoto da Fortinet e, em seguida, empregaram ataques de força bruta automatizados com combinações conhecidas de logins e senhas. Após o acesso bem-sucedido, os invasores ganharam a capacidade de interceptar o tráfego que passava pelos dispositivos e coletar novas credenciais para futuras campanhas de ataque, possivelmente utilizando técnicas de exploit e payloads maliciosos. A investigação sugere que um grupo de hackers de língua russa pode estar por trás desta operação, com cerca de 1,16 bilhão de tentativas de login registradas contra mais de 320.000 sistemas FortiGate. Para quebrar os hashes interceptados, foi utilizado um cluster de 45 GPUs com o software Hashtopolis, e os acessos obtidos foram subsequentemente usados para penetrar em ambientes internos de Active Directory.
Especialistas da Huntress correlacionaram os endereços IP divulgados com sua telemetria, identificando 845 organizações parceiras afetadas. Kevin Beaumont, um renomado especialista em segurança, e a equipe da Hudson Rock também verificaram parte do banco de dados e confirmaram que muitas credenciais ainda estavam ativas e os dispositivos conectados à rede. Em resposta, a Fortinet declarou que a base de dados descoberta provavelmente combina informações de incidentes passados com os resultados de ataques de brute-force. A empresa enfatizou que o vazamento não está associado a nenhuma nova vulnerabilidade, mas mencionou que problemas como CVE-2026-24858, CVE-2025-59718 e CVE-2025-59719 podem ter sido utilizados para coletar as credenciais, ressaltando a importância de manter os sistemas atualizados e protegidos contra ameaças como phishing e ransomware.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
