A 17 de junho de 2026, tornou-se público um conjunto de dados de credenciais que não deveria ter surpreendido ninguém e alarmou toda a gente. O investigador Volodymyr "Bob" Diachenko encontrou um servidor exposto na Internet contendo nomes de utilizador, endereços de e-mail e palavras-passe em texto simples para dezenas de milhares de firewalls Fortinet FortiGate. Kevin Beaumont obteve o conjunto, analisou-o com a Hudson Rock e confirmou a parte que ninguém queria ver confirmada: as credenciais eram válidas. A campanha foi batizada FortiBleed.
Os números são a história. 73 932 URL FortiGate únicos em 194 países, ligados a 21 632 domínios, o que, segundo os sondagens da Shodan, representa cerca de metade de todos os firewalls Fortinet atualmente expostos na Internet pública. As organizações afetadas não são amadoras: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, além de agências governamentais e operadores de infraestruturas críticas. Pelo menos quatro organizações foram totalmente comprometidas, no Japão, em Taiwan, no Vietname, no Iraque e na Turquia, com os atacantes a saltar de máquina em máquina dentro da rede. O caso mais grave é um subcontratante de defesa turco da OTAN do qual foram exfiltrados documentos classificados. A atividade é atribuída a um grupo criminoso russófono com vários operadores.
A ironia escreve-se sozinha. O firewall, o único aparelho cujo propósito é manter os intrusos na periferia, tornou-se a porta aberta dessa mesma periferia.
O que realmente aconteceu, tecnicamente
Não há aqui nenhuma vulnerabilidade nova, e isso importa. A recolha remonta à CVE-2022-40684, o contorno de autenticação do FortiOS que a Fortinet corrigiu em outubro de 2022 e que foi massivamente explorado antes de a maioria das organizações aplicar a correção. As credenciais recolhidas durante essa vaga de 2022 circulam desde então em fóruns criminosos privados. A FortiBleed é esse arsenal, refrescado: os operadores intercetaram a autenticação SSL-VPN, recuperaram os hashes das palavras-passe e quebraram-nos num cluster de 45 GPU orquestrado com o Hashtopolis. Em seguida, repetiram as palavras-passe recuperadas contra equipamentos ativos, totalizando 1,16 mil milhões de tentativas de início de sessão contra 320 000 aparelhos FortiGate e mais 2,1 mil milhões em paralelo contra 160 000 servidores Microsoft SQL, e levaram as válidas até ao Active Directory, o diretório que governa cada conta Windows da organização.
A resposta da Fortinet é tecnicamente correta e estrategicamente fora do ponto. A empresa caracteriza a FortiBleed como dados reciclados de incidentes passados acrescidos de força bruta, e não como uma falha inédita nos seus produtos. Verdade. Mas os aparelhos continuam online, e uma palavra-passe reciclada abre uma porta real exatamente enquanto ninguém a mudar. Num grande parque, renovar cada credencial de VPN e de administrador não se faz num estalar de dedos, que é toda a razão pela qual os atacantes apostaram que ainda funcionaria. Tinham razão.
Que enquadramentos regem isto, e o que exigem
Isto não é uma nota técnica de rodapé; situa-se em pleno dentro de três regimes a que as organizações afetadas já respondem.
O Regulamento europeu sobre a Resiliência Operacional Digital (DORA) vincula as entidades financeiras. O seu pilar de gestão do risco das TIC (artigos 5 a 15) exige autenticação forte e controlo de acesso nos pontos de entrada remotos (artigo 9) e uma capacidade de resposta a incidentes testada e evidenciada (artigo 11). O DORA não aceita "corrigimos a CVE de 2022" como resiliência; pergunta se a exposição residual foi identificada, quantificada e governada. A Diretiva relativa à Segurança das Redes e da Informação 2 (NIS2) cobre uma população muito mais vasta, incluindo energia, transportes, indústria transformadora, infraestrutura digital e administração pública, e o seu artigo 21 nomeia explicitamente a autenticação multifator, o controlo de acesso e a gestão de ativos como medidas de base, com os órgãos de direção pessoalmente responsáveis ao abrigo do artigo 20. A ISO/IEC 27001:2022 formula os mesmos controlos como obrigações do anexo A: A.5.17 (informação de autenticação), A.8.5 (autenticação segura), A.5.15 (controlo de acesso) e A.8.9 (gestão da configuração). Para o subcontratante de defesa da OTAN, aplica-se uma quarta camada: obrigações de segurança da cadeia de abastecimento de defesa ao abrigo das quais a exfiltração de material classificado é um evento declarável, de nível soberano, e não uma simples violação comercial.
Que controlos falharam
Retire-se a escala de manchete e a FortiBleed reduz-se a uma curta lista de interruptores deixados na posição DESLIGADO. A autenticação multifator no acesso remoto estava ausente ou incompleta, e é o único controlo que torna inerte uma palavra-passe roubada, aquele cuja presença separa um não evento de uma brecha. A rotação de credenciais nunca se acionou após o comprometimento de 2022, pelo que palavras-passe vazadas há quatro anos ainda se autenticavam em junho de 2026. A higiene de correções e de configuração ficou atrás da janela original da CVE-2022-40684 o suficiente para que a recolha tivesse êxito. A segmentação de rede entre a periferia VPN e o núcleo Active Directory era ténue ou inexistente, transformando um único aparelho comprometido em movimento lateral à escala do domínio. E por baixo de tudo isto, a visibilidade dos ativos falhou: as organizações não tinham uma visão fidedigna e atualizada de quais dos seus aparelhos FortiGate estavam expostos na Internet, sob que firmware, com que contas e que postura de autenticação. Não se pode renovar, segmentar nem impor MFA sobre uma exposição que não se vê.
O que as ferramentas da CCI teriam mudado
Nenhum dos quatro controlos acima exigia uma nova categoria de produto. Exigiam que a exposição fosse continuamente vista, precificada e provada, que é precisamente a lacuna que os instrumentos da CCI fecham.
A EviGen teria respondido à única pergunta que importa antes de os atacantes a fazerem: a MFA está imposta em cada conta SSL-VPN e de administrador, em cada aparelho, neste preciso momento? A EviGen recolhe automaticamente essa prova de configuração em todo o parque e empacota-a com consciência do enquadramento como o artefacto do artigo 9 do DORA, do artigo 21 do NIS2 e do A.8.5 da ISO, gerado continuamente em vez de reconstituído em pânico. Uma lacuna na cobertura de MFA torna-se um constato datado e assinado na semana em que se abre, e não uma descoberta forense após a exfiltração.
O NetDiagramer teria desenhado o caminho que os atacantes percorreram de facto. Mapeia as zonas de firewall e as dependências entre camadas a partir do inventário vivo, fazendo emergir cada FortiGate exposto na Internet e, sobretudo, o trajeto da periferia SSL-VPN até ao núcleo Active Directory. A adjacência plana entre periferia e domínio que tornou quatro organizações totalmente comprometíveis é exatamente o que uma topologia gerada automaticamente ao abrigo do artigo 8 do DORA e do artigo 21 do NIS2 expõe como um constato em vez de um diagrama de autópsia.
O cVaR teria transformado um "credenciais antigas, provavelmente sem importância" num número digno de um conselho de administração. Aplicando o método FAIR e a simulação de Monte-Carlo sobre o inventário de ativos, precifica o cenário "uma credencial de VPN exposta na Internet é repetida e pivota para o AD" como uma curva de excedência de perdas em euros. Uma exposição residual que se lê como uma preocupação vaga num registo de riscos lê-se como valor em risco condicional num painel cVaR, e os euros residuais fazem-se renovar onde as preocupações residuais se fazem adiar.
O DORA-MAST teria feito disto um cenário testado e não uma surpresa. Faz correr a disrupção, a reutilização de credenciais na periferia de acesso remoto, contra o modelo, calcula o impacto de resiliência e evidencia o teste ao abrigo do programa de testes dos artigos 24 a 31 do DORA, incluindo o risco de concentração num terceiro que representa apostar toda a periferia num único fornecedor de aparelhos.
Prever a exposição, precificá-la, provar o controlo, ensaiar a falha. A ferida de 2022 era conhecível. As credenciais vazadas eram conhecíveis. A lacuna de MFA era conhecível. A FortiBleed não explorou uma vulnerabilidade no código da Fortinet. Explorou a distância entre um controlo que uma organização possuía e um controlo que uma organização conseguia provar estar ativado. Feche essa distância e a palavra-passe reciclada não abre nada.
Se o seu domínio já está na lista: obter ajuda depressa
As ferramentas acima descrevem uma postura que uma organização constrói antes de um incidente. A FortiBleed, para muitos dos 21 632 domínios expostos, não é um risco futuro mas um risco presente, e a pergunta honesta é o que fazer esta semana. Aplicam-se duas capacidades distintas da CCI, e vale a pena ser preciso sobre o que cada uma faz.
A primeira é a liderança sob pressão. O CISO como Serviço da CCI assenta num conjunto de oito ou mais profissionais certificados CISSP, com percursos deliberadamente não redundantes na banca, defesa, telecomunicações e energia. Para uma organização que acaba de descobrir as suas credenciais no conjunto FortiBleed, o modo relevante é a cobertura interina ou a pedido: um líder de segurança responsável que possa triar a exposição, informar um conselho e responder às questões de um regulador ao abrigo do artigo 11 (DORA) ou do artigo 23 (NIS2) enquanto a equipa interna executa a rotação. Não auditamos onde lideramos, de modo que essa independência é preservada por conceção.
A segunda é a velocidade de engenharia. As pessoas que construíram a EviGen, o NetDiagramer, o cVaR e o DORA-MAST não são um fornecedor à parte; são uma equipa interna de investigação e desenvolvimento composta por académicos, investigadores de nível doutoral e engenheiros de segurança. Isso importa em termos operacionais porque a remediação da FortiBleed é, à escala, um problema de ferramentas: cruzar o parque FortiGate completo de uma organização com a lista publicada de domínios expostos, forçar a rotação de credenciais em centenas de aparelhos e depois provar que a autenticação multifator está imposta em cada conta restante. É exatamente o tipo de instrumento de reparação à medida que esses mesmos engenheiros conseguem pôr de pé rapidamente, porque as primitivas subjacentes, incluindo a ingestão de inventário, a recolha de provas de configuração e o mapeamento de topologia, já existem como produtos entregues e não como apresentações. O enquadramento honesto é de capacidade, não de um cronómetro contratual: a equipa que industrializou estas primitivas consegue compô-las num instrumento de remediação direcionado muito mais depressa do que uma equipa que enfrenta o problema pela primeira vez. Se a FortiBleed chegou ao seu parque, a via mais rápida para uma resposta delimitada é falar com um profissional.
A ferida que nunca cicatrizou
A vespa não muda; a colónia, sim. As credenciais que os clientes da Fortinet perderam em 2022 nunca iam expirar por si próprias, porque as palavras-passe não se curam. O que mudou, para a metade do parque ainda exposta, é nada: os mesmos aparelhos, as mesmas palavras-passe, o mesmo caminho plano até ao domínio. A correção é sem glória e inteiramente ao alcance. Impor a MFA, renovar agora, segmentar a periferia em relação ao núcleo, e manter prova contínua de que as três coisas são verdadeiras. Os atacantes apostam que vai ler isto, acenar com a cabeça e adiá-lo para o próximo trimestre. Têm um historial de quatro anos a darem-lhes razão quanto a isso.
Acronyms
| Sigla | Expansão (inglês) | Tradução portuguesa |
|---|---|---|
| AD | Active Directory | Active Directory |
| CVE | Common Vulnerabilities and Exposures | Vulnerabilidades e Exposições Comuns |
| CVSS | Common Vulnerability Scoring System | Sistema Comum de Pontuação de Vulnerabilidades |
| DORA | Digital Operational Resilience Act | Regulamento da Resiliência Operacional Digital |
| FAIR | Factor Analysis of Information Risk | Análise de Fatores do Risco de Informação |
| GPU | Graphics Processing Unit | Unidade de Processamento Gráfico |
| ICT | Information and Communication Technology | Tecnologias de Informação e Comunicação |
| MFA | Multi-Factor Authentication | Autenticação Multifator |
| NIS2 | Network and Information Security Directive 2 | Diretiva de Segurança das Redes e da Informação 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | Rede Privada Virtual com Camada de Sockets Segura |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj