Uma nova exposição de dados, apelidada de “FortiBleed”, revelou o que parece ser uma coleção de credenciais de VPN da Fortinet e do FortiGate associadas a 73.932 URLs de firewalls em organizações do mundo todo.
Os dados expostos foram descobertos inicialmente pelo pesquisador de segurança Bob Diachenko, que afirma ter encontrado um servidor contendo credenciais aparentemente válidas de VPN da Fortinet, incluindo nomes de usuário, endereços de e-mail e senhas em texto simples.
Segundo capturas de tela e informações compartilhadas por Diachenko, a base inclui registros de Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid e muitas outras empresas.
“Campanha massiva de força bruta e exploração ativa contra Fortinet/FortiGate descoberta em andamento”, publicou Diachenko no LinkedIn.
“Milhares de instâncias de grandes fornecedores aparecem nos arquivos assim (veja a captura de tela).
Só esta contém 21.634 nomes de domínio, da Chevron à própria Fortinet.
Todos com senhas potencialmente válidas para os aparelhos FortiGate obtidas por diferentes meios.”
Os dados expostos também incluíam comentários com o setor de atuação, a receita e o número de funcionários de cada organização, provavelmente usados no planejamento de ataques.
Mais tarde, Diachenko compartilhou informações adicionais que indicam que a operação teria sido conduzida por um grupo de ameaça multilíngue de origem russa, com vários operadores, que coletou credenciais de dispositivos FortiGate SSL VPN.
De acordo com a investigação de Diachenko, os atacantes teriam realizado cerca de 1,16 bilhão de tentativas de credenciais contra 320.777 alvos FortiGate e mais 2,1 bilhões de tentativas contra 163.650 sistemas Microsoft SQL Server.
Ele afirmou ainda que os threat actors interceptaram hashes de autenticação de SSL VPN, quebraram esses dados com um cluster de 45 GPUs administrado por meio do Hashtopolis e usaram as credenciais recuperadas para avançar lateralmente em ambientes internos de Active Directory.
Segundo Diachenko, esses detalhes foram obtidos após a análise de outros arquivos expostos por engano no mesmo servidor.
“Eles deixaram, por acidente, um diretório aberto com artefatos, strings de conexão, ferramentas, scripts e dados online.
Análises obtidas por meio de jobs cron, históricos de bash, logs etc.”, explicou Diachenko.
O pesquisador também afirmou que várias organizações no Japão, Taiwan, Vietnã, Iraque e Turquia foram totalmente comprometidas, incluindo uma contratada de defesa da OTAN na Turquia, da qual documentos classificados teriam sido roubados.
A empresa de inteligência de ameaças Hudson Rock publicou então sua própria análise dos dados expostos após receber o conjunto de Diachenko.
A companhia descreveu a coleção como um dos maiores repositórios conhecidos de credenciais comprometidas relacionadas à Fortinet.
Segundo a Hudson Rock, o conjunto reúne 73.932 URLs exclusivas de firewalls em 194 países e afeta 21.632 domínios únicos.
A empresa afirma que os atacantes mantinham registros detalhados dos compromissos bem-sucedidos e montaram uma base com credenciais verificadas de organizações em praticamente todos os principais setores da economia.
Entre as organizações que, segundo a Hudson Rock, aparecem no conjunto estão Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle e diversos órgãos públicos e operadores de infraestrutura crítica.
A empresa também divulgou estatísticas mostrando que o maior número de dispositivos afetados estava na Índia, Estados Unidos, Taiwan, México, Turquia, Tailândia, Colômbia, Malásia, Chile e Emirados Árabes Unidos.
Os setores mais frequentes entre as empresas listadas são telecomunicações, serviços de TI, serviços financeiros, órgãos governamentais, saúde, educação e manufatura.
Um aspecto curioso da exposição é que muitas das credenciais vazadas eram senhas longas e complexas, que normalmente seriam consideradas difíceis de quebrar.
O pesquisador de cibersegurança Kevin Beaumont analisou de forma independente partes dos dados expostos e disse que algumas das credenciais são autênticas.
“Consegui confirmar a autenticidade de alguns logins administrativos e senhas.
Isso parece ser um vazamento real”, disse Beaumont.
Após nova análise dos dados compartilhados pela Hudson Rock, Beaumont publicou descobertas adicionais indicando que o conjunto contém credenciais de cerca de 75.000 dispositivos Fortinet, a maioria ainda online.
Segundo Beaumont, os dados parecem ter origem em configurações exportadas da Fortinet, porque incluem informações, como endereços de e-mail, que normalmente só ficam acessíveis por meio dessas configurações.
Ele também afirmou que os endereços IP afetados são diferentes dos presentes no vazamento da Fortinet atribuído ao Belsen Group em 2025, o que sugere que esta é uma coleção mais recente e maior de dispositivos comprometidos.
Beaumont disse ter verificado que várias organizações listadas no conjunto estavam usando credenciais válidas e observou que muitos dos dispositivos afetados rodavam versões relativamente recentes do FortiOS.
“Os dados são legítimos.
São cerca de 75 mil dispositivos.
Quase todos ainda estão online e são dispositivos Fortinet.
Parece ser um conjunto recente”, escreveu Beaumont.
Com base em dados de rede do Shodan, Beaumont afirma que o vazamento inclui aproximadamente metade de todos os firewalls Fortinet acessíveis pela internet e disse que a maioria dos dispositivos afetados expõe diretamente à internet suas interfaces de gerenciamento do FortiGate.
A origem dos dados de configuração permanece desconhecida, e ainda não está claro se eles foram obtidos por meio de vulnerabilidades da Fortinet já divulgadas, de uma falha recém-descoberta ou de outro método.
Nem Diachenko, nem a Hudson Rock, nem Beaumont identificaram como os dados de configuração foram obtidos originalmente.
Organizações presentes no conjunto devem alterar imediatamente as senhas associadas à VPN da Fortinet e às interfaces administrativas, exigir MFA, examinar os logs do gateway em busca de atividades suspeitas e monitorar possíveis credenciais expostas de funcionários.
A Fortinet foi contatada sobre o conjunto de dados exposto e, se houver resposta, a reportagem será atualizada.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...