A campanha FortiBleed expôs credenciais de milhares de firewalls FortiGate conectados à internet, aumentando o risco de acesso não autorizado a redes corporativas em diversos países.
O caso envolve uma base de dados vazada com credenciais associadas a dispositivos Fortinet.
Segundo alertas recentes, os dados teriam sido obtidos por meio de tentativas de força bruta, reaproveitamento de senhas e ataques contra portais VPN expostos.
A CISA recomendou que clientes da Fortinet adotem medidas imediatas de proteção.
A orientação ocorre após relatos de atividade maliciosa em larga escala contra appliances FortiGate e gateways VPN acessíveis pela internet.
Pesquisadores apontam que a campanha pode ter atingido dezenas de milhares de dispositivos. Algumas análises citam mais de 70 mil URLs de firewalls afetadas, enquanto outros levantamentos indicam número ainda maior de equipamentos potencialmente impactados.
A Fortinet afirmou que a atividade não está ligada a uma nova falha de segurança ou a um novo boletim de vulnerabilidade. A empresa indica que os criminosos estariam usando dados de incidentes anteriores, credenciais antigas ou senhas ainda válidas em ambientes sem rotação adequada.
Mesmo assim, o risco é alto. Firewalls e VPNs são portas de entrada para redes internas. Caso credenciais administrativas ou de acesso remoto estejam válidas, invasores podem entrar no ambiente, criar novas contas, alterar configurações e preparar ataques mais amplos.
Empresas que usam FortiGate devem redefinir senhas de administradores e usuários VPN, ativar autenticação multifator, revisar contas locais e verificar acessos recentes. Também é essencial atualizar o FortiOS, restringir portais expostos à internet e investigar sinais de login fora do padrão.
