Blog

FortiGate: ataque VPN rouba senhas de 75 mil firewalls em 194 paises

Escrito por Luiz Claudio | 18/06/2026 00:40:24
Cibersegurança

FortiGate: ataque VPN rouba senhas, saiba o risco

Campanha teria afetado organizações em 194 países e exige revisão imediata de acessos.

Navegacao

O que aconteceuComo o ataque teria funcionadoSinais de alertaO que fazer agoraChecklist pratico

Resumo rapido

Pesquisadores relataram uma campanha de roubo de credenciais que teria atingido cerca de 75 mil firewalls Fortinet. O caso envolveria 21.632 domínios únicos em 194 países. A Fortinet afirmou que os dados não estão ligados a um incidente recente, mas sim a informações antigas republicadas combinadas com força bruta de senhas.

Neste artigo voce vai aprender:

  • Qual é o impacto relatado para ambientes com Fortinet FortiGate.
  • Como credenciais de VPN SSL podem expor a rede interna.
  • Quais sinais devem ser procurados nos registros de acesso.
  • Quais medidas reduzem o risco de invasão com senhas roubadas.
  • Um checklist prático para equipes de TI e gestores.

O que aconteceu

A publicação relata uma campanha de roubo de senhas que teria atingido cerca de 75 mil firewalls Fortinet ao redor do mundo. O levantamento cita 21.632 domínios únicos em 194 países, um alcance amplo e com forte presença corporativa.

A Fortinet negou que os dados tenham ligação com um incidente recente. Para a empresa, o material seria a republicação de informações de violações anteriores, misturada com tentativas em massa de adivinhar senhas. Ainda assim, qualquer organização que use FortiGate deve tratar o tema como risco real até concluir uma revisão interna.

Como o ataque teria funcionado

Segundo o texto analisado, a operação teria explorado autenticações de VPN SSL. A VPN é a porta de entrada que funcionários e parceiros usam para acessar sistemas internos à distância. Quando uma senha válida é roubada, o invasor tenta entrar passando-se por um usuário autorizado.

A campanha também teria envolvido a quebra de versões embaralhadas de senhas com uso de placas de vídeo, tentativas em massa contra FortiGate e servidores MSSQL, além de movimentação para ambientes internos de Active Directory, que controla usuários e permissões na maioria das empresas. Uma senha reutilizada ou fraca pode abrir caminho até outros sistemas críticos.

Sinais de alerta

Organizações com Fortinet FortiGate devem revisar os registros de acesso e procurar comportamentos fora do padrão. Entre os mais relevantes estão:

  • Acessos VPN em horários incomuns, sobretudo de madrugada ou em finais de semana.
  • Entradas vindas de países ou regiões onde a empresa não atua.
  • Volume elevado de tentativas de login falhas para o mesmo usuário ou para vários usuários.
  • Usuários que entram pela VPN e, logo em seguida, tentam alcançar servidores internos sensíveis.
  • Contas antigas, de terceiros ou de ex-funcionários ainda ativas.

Um exemplo concreto: se um colaborador sempre acessa a VPN do Brasil em horário comercial e, de repente, surge um login bem-sucedido de outro país durante a madrugada, esse evento precisa ser investigado na hora.

O que fazer agora

A resposta deve priorizar contas e acessos remotos. Comece redefinindo as senhas dos usuários com acesso à VPN FortiGate, com atenção especial a administradores, terceiros e contas com muitos privilégios. Em seguida, ative a autenticação multifator, para que a senha sozinha deixe de ser suficiente para entrar.

Revisar os logs de VPN, FortiGate, servidores MSSQL e dos ambientes de identidade internos é igualmente essencial. Diante de qualquer indício de acesso suspeito, verifique se a movimentação ficou restrita à VPN ou se houve tentativa de alcançar sistemas internos. Trocar senhas sem entender se alguma conta já foi usada de forma indevida deixa o ambiente vulnerável.

Checklist pratico

  1. Redefina senhas de contas com acesso à VPN FortiGate, começando por administradores e terceiros.
  2. Ative autenticação multifator para todos os acessos remotos e contas privilegiadas.
  3. Revise logs de VPN, FortiGate, MSSQL e Active Directory em busca de acessos fora do padrão.
  4. Desative contas antigas, compartilhadas ou sem dono claro.
  5. Investigue qualquer login suspeito antes de considerar o ambiente seguro.

Perguntas frequentes

Minha empresa usa Fortinet. Ela foi invadida?

Não necessariamente. O texto descreve uma campanha ampla de credenciais, mas não confirma que todas as organizações citadas tenham sofrido invasão interna. O caminho certo é revisar acessos, trocar senhas e procurar sinais concretos nos logs.

A Fortinet confirmou um incidente recente?

Não. A Fortinet afirmou que os dados não estão ligados a um incidente recente e que seriam republicações de violações anteriores combinadas com força bruta de credenciais.

Trocar a senha resolve tudo?

Ajuda, mas não basta. Se uma senha já foi usada por um invasor, é preciso verificar logs, ativar MFA e investigar se houve acesso a sistemas internos.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua organização a revisar acessos remotos, validar controles de MFA, analisar logs e identificar sinais de comprometimento antes que uma credencial roubada vire incidente.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
cybersecbrazil.com.br
Visualizar publicação completa