O que aconteceu

Pesquisadores localizaram uma base de dados exposta com credenciais de 73.932 firewalls FortiGate. Segundo o relato, os equipamentos estavam espalhados por 194 países e ligados a mais de 21 mil domínios.

O vazamento, apelidado de FortiBleed, vai além de uma lista de nomes de usuário. O ponto crítico é que os logins e senhas estavam em texto simples, em formato direto de leitura. Isso encurta drasticamente o trabalho de quem tenta usar essas credenciais para entrar em ambientes corporativos.

Como a exposição ocorreu

A publicação informa que um grupo de língua russa disparou bilhões de tentativas de autenticação para capturar hashes de VPN. Hashes, em termos simples, são versões embaralhadas das senhas. Em seguida, o grupo teria usado um conjunto de 45 placas gráficas para quebrar essas proteções e recuperar credenciais utilizáveis.

O risco prático é objetivo: o firewall FortiGate costuma guardar a entrada da rede. Com uma senha válida em mãos, um invasor pode entrar pela VPN, mapear sistemas internos e avançar para as próximas etapas do ataque.

Sinais de alerta

Empresas que usam FortiGate devem encarar o caso como incidente potencial e procurar indícios de acesso indevido.

• Tentativas de login em volume incomum, sobretudo em horários fora do padrão.
• Acessos VPN partindo de países ou redes que não fazem parte da rotina da empresa.
• Usuários administrativos acessando o FortiGate sem justificativa operacional.
• Falhas repetidas de autenticação logo antes de um login bem-sucedido.
• Alterações recentes em regras, usuários ou configurações do firewall.

O que fazer agora

A primeira medida é trocar de imediato as senhas das contas usadas no FortiGate e na VPN. Não reaproveite senhas antigas nem variações fáceis de adivinhar. Na sequência, ative a autenticação multifator, o MFA, para exigir uma segunda confirmação além da senha.

Revise também os logs do equipamento, valide as contas ativas, remova usuários desnecessários e confira se houve mudanças sem autorização. Diante de qualquer sinal suspeito, preserve os registros e conduza a investigação antes de apagar evidências.

Checklist prático

1. Liste todos os firewalls FortiGate e identifique contas locais, contas VPN e usuários administrativos.
2. Troque senhas, ative MFA e bloqueie contas sem uso ou sem responsável definido.
3. Revise logs de autenticação, acessos VPN e alterações de configuração dos últimos dias.

Perguntas frequentes

Minha empresa usa FortiGate. Devo trocar a senha mesmo sem alerta?

Sim. Como a base exposta inclui milhares de equipamentos e o Brasil está entre os países mais afetados, a troca preventiva é uma medida simples e urgente.

Ativar MFA resolve o problema?

Ajuda bastante, mas não substitui a revisão. O MFA dificulta o uso de uma senha vazada, porém ainda é preciso checar logs e possíveis acessos anteriores.

O vazamento afeta apenas grandes empresas?

Não. O material citado envolve empresas, governos, universidades, hospitais e provedores de telecomunicações. Qualquer organização que use FortiGate precisa avaliar sua exposição.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
Tecmundo