FortiBleed: 86.644 dispositivos FortiGate comprometidos — credenciais de administrador expostas em campanha massiva

<p>A campanha <strong>FortiBleed</strong>, divulgada em 16-19 de junho de 2026 pelas organizações SOCRadar, HudsonRock, SecurityWeek e Arctic Wolf, comprometeu mais de <strong>86.644 dispositivos FortiGate</strong> em 194 países — aproximadamente 50% de todos os firewalls Fortinet expostos na internet.</p> <h2>Como funciona o ataque</h2> <p>Atores de ameaça russofontes interceptaram sessões SSL VPN e extraíram arquivos de configuração de dispositivos FortiGate com versões mais antigas do FortiOS. Ao fazer upgrade, senhas de administrador ficam armazenadas como hashes SHA-256 fracos até que o administrador faça login manualmente após a atualização — uma falha fundamental no gerenciamento de credenciais do FortiOS.</p> <p>Os atacantes usaram uma infraestrutura de 45 GPUs gerenciadas via Hashtopolis para quebrar esses hashes em escala, obtendo credenciais de administrador válidas para dezenas de milhares de dispositivos. Ao todo, foram executadas <strong>1,16 bilhão de tentativas de credencial</strong> contra mais de 320.000 alvos FortiGate e 2,1 bilhões de tentativas brute-force contra mais de 160.000 servidores MSSQL.</p> <h2>Impacto</h2> <p>Credenciais de administrador comprometidas permitem ao atacante modificar regras de firewall, interceptar tráfego VPN, criar contas backdoor, desabilitar logs e preparar ataques de ransomware ou exfiltração de dados. Organizações afetadas incluem "grandes entidades governamentais e provedores de infraestrutura crítica".</p> <h2>Versões afetadas</h2> <p>Dispositivos rodando FortiOS anteriores a 7.2.11, 7.4.8 e 7.6.1 que não exigem re-login após atualização de versão estão vulneráveis ao armazenamento de hash SHA-256 legado.</p> <h2>Ações recomendadas pela CISA</h2> <ul> <li>Encerrar sessões ativas e redefinir todas as credenciais de administrador e VPN imediatamente</li> <li>Garantir uso do algoritmo PBKDF2 para armazenamento de logins de admin</li> <li>Revisar logs em busca de atividade suspeita</li> <li>Habilitar MFA resistente a phishing em todas as contas de acesso remoto</li> <li>Restringir acesso à interface de gerenciamento a redes internas confiáveis</li> <li>Habilitar a configuração 'login-lockout-upon-weaker-encryption' no FortiOS v7.2.x e v7.4.x</li> </ul> <p><strong>Fonte:</strong> SecurityWeek (19/06/2026) | CISA Alert (18/06/2026)</p>