Servidor mal configurado expôs 73 mil dispositivos de defesa em 194 países

Um servidor mal configurado expôs credenciais de acesso a mais de 73 mil firewalls FortiGate ao redor do mundo. A brecha chegou a afetar dispositivos de multinacionais como Samsung, Foxconn, Comcast, Siemens, Oracle e dezenas de agências governamentais. A descoberta foi feita pelo pesquisador de segurança Bob Diachenko, que encontrou o banco de dados aberto e compartilhou os dados com a empresa de inteligência Hudson Rock para análise.

O conjunto de dados, batizado de FortiBleed, contém nomes de usuário, endereços de e-mail e senhas em texto simples de 73.932 URLs únicas de firewall, distribuídas por 194 países e 21.632 domínios distintos. Os setores mais afetados incluem telecomunicações, serviços de TI, governo, saúde, instituições de ensino e indústria.

O FortiGate é um equipamento de segurança fabricado pela Fortinet, empresa americana especializada em cibersegurança. Basicamente, ele funciona como uma "porteira digital" da rede de uma empresa, controlando quem pode entrar e o que pode sair. Grandes organizações usam esses dispositivos para proteger seus sistemas internos, incluindo redes corporativas, servidores e dados confidenciais.

fortibleed fortinet vpn.png — Dados analisados pela Hudson Rock indicam que o vazamento expôs credenciais associadas a dezenas de milhares de firewalls FortiGate usados por empresas e órgãos governamentais. Imagem: Infostealers.

Como os atacantes obtiveram as credenciais

Segundo Diachenko, a operação foi conduzida por um grupo de língua russa que atacou ativamente dispositivos FortiGate em escala massiva. Os criminosos teriam realizado aproximadamente 1,16 bilhão de tentativas de autenticação contra 320.777 alvos FortiGate e mais 2,1 bilhões de tentativas contra 163.650 servidores Microsoft SQL.

O método usado incluiu a interceptação de hashes de autenticação SSL VPN, que são basicamente "impressões digitais criptografadas" das senhas. Esses hashes foram quebrados usando um cluster de 45 placas de vídeo (GPUs) gerenciado por um software chamado Hashtopolis, recuperando as senhas originais.

fortibleed fortinet vpn (1).png — Trecho da base FortiBleed mostra registros atribuídos a grandes empresas, incluindo URLs de dispositivos FortiGate, identificadores FortiGuard e informações sobre os alvos. Imagem: Infostealers.

Com elas em mãos, os atacantes se moviam lateralmente pelas redes internas das vítimas, basicamente se espalhando de um sistema para outro como se fossem funcionários legítimos.

O pesquisador obteve esses detalhes porque os próprios criminosos deixaram uma pasta aberta no mesmo servidor, com scripts, logs, histórico de comandos e outros artefatos da operação.

Pesquisadores confirmam que os dados são reais

O pesquisador Kevin Beaumont revisou parte dos dados de forma independente e confirmou a autenticidade de vários logins e senhas administrativos. Segundo ele, o conjunto de dados contém credenciais de cerca de 75 mil dispositivos Fortinet, a maioria ainda online.

Beaumont também concluiu que os dados parecem ter origem em arquivos de configuração exportados dos próprios dispositivos, isso porque contêm informações, como endereços de e-mail, que normalmente só aparecem nesse tipo de arquivo. Ele estimou que o vazamento corresponde a aproximadamente metade de todos os firewalls Fortinet acessíveis pela internet.

Os endereços IP afetados são diferentes dos que apareceram no vazamento do grupo Belsen, divulgado em 2025, o que indica que o FortiBleed é mais recente e maior.

fortibleed fortinet vpn (2).png — Registros encontrados no servidor exposto continham URLs de acesso, nomes de usuário e credenciais associadas a dispositivos Fortinet distribuídos em diferentes países. Imagem: Infostealers.

O mesmo tipo de vulnerabilidade que afetou a JBS

O caso guarda semelhança direta com o ataque à JBS investigado pelo TecMundo em março de 2026. No incidente da empresa frigorífica, o grupo Coinbasecartel obteve acesso à rede corporativa por meio de um link exposto do FortiReset, ferramenta da linha FortiGate que, sem proteção adequada, permite redefinir credenciais administrativas do equipamento.

Na ocasião, o vetor de entrada foi facilitado por um funcionário da própria JBS, caracterizando o que a área de cibersegurança chama de insider threat, ou ameaça interna. Mas o princípio de risco é o mesmo em ambos os casos: credenciais de dispositivos FortiGate comprometidas abrem caminho direto para o interior das redes corporativas.

fortibleed fortinet vpn (3).png — Parte das credenciais encontradas pelos pesquisadores mostra que os invasores conseguiram recuperar as senhas originais de usuários e administradores. Imagem: Infostealers.

Quais países estão mais afetados

De acordo com a Hudson Rock, os países com maior número de dispositivos impactados são Índia, Estados Unidos, Taiwan e México. O Brasil é o 11° país mais afetado pelo vazamento.

O banco de dados dos atacantes também incluía anotações sobre o setor de atuação, faturamento e número de funcionários de cada organização listada, indicando que as informações eram usadas para priorizar alvos.

fortibleed fortinet vpn (4).png — Ranking dos países com maior número de dispositivos FortiGate afetados pelo FortiBleed. Índia, Estados Unidos e Taiwan lideram a lista, enquanto o Brasil aparece na 11ª posição. Imagem: Infostealers.

O que fazer se sua empresa usa dispositivos Fortinet

A Hudson Rock disponibilizou uma ferramenta gratuita chamada FortiBleed Lookup para que organizações verifiquem se estão na base de dados. A recomendação imediata é trocar todas as senhas associadas a interfaces VPN e administrativas da Fortinet, ativar autenticação em múltiplos fatores (MFA), revisar os logs dos equipamentos em busca de acessos suspeitos e monitorar se credenciais de funcionários foram expostas.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.