A Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA) emitiu um alerta urgente recomendando que organizações protejam seus dispositivos Fortinet após relatórios de uma campanha em larga escala de exposição de credenciais conhecida como "FortiBleed". O alerta foi emitido após atores de ameaças serem encontrados explorando credenciais comprometidas vinculadas a dezenas de milhares de sistemas Fortinet voltados para a internet em todo o mundo.
Contexto do ataque e escala global
A atividade FortiBleed envolve credenciais vazadas associadas a aproximadamente 74.000 dispositivos Fortinet, incluindo firewalls FortiGate e gateways SSL VPN. A exposição afetou organizações do setor governamental e privado em múltiplas regiões, levantando sérias preocupações sobre acesso não autorizado e potencial movimento lateral dentro das redes. Pesquisadores de segurança e empresas de inteligência de ameaças, incluindo SOCRadar, Hudson Rock e Arctic Wolf, relataram que a campanha abrange mais de 190 países, destacando a escala global do problema.
Muitos dos dispositivos afetados estavam diretamente acessíveis pela internet, tornando-os alvos de alto valor para atacantes que buscam acesso inicial. O risco primário decorre do uso de credenciais válidas, mas comprometidas, para contornar controles de segurança tradicionais. Uma vez dentro, os atores de ameaças podem escalar privilégios, mover-se lateralmente através das redes e potencialmente implantar malware ou exfiltrar dados sensíveis.
Riscos operacionais e de conformidade
A campanha FortiBleed sublinha o risco crescente de ataques baseados em credenciais, especialmente à medida que os atores de ameaças dependem cada vez mais de dados de login roubados em vez de explorar vulnerabilidades de software. Isso representa um desafio significativo para equipes de segurança que dependem de firewalls e gateways VPN como barreiras primárias de defesa. A exposição de credenciais administrativas em dispositivos de borda críticos pode comprometer a integridade de toda a infraestrutura de rede de uma organização.
Além dos riscos operacionais, há implicações regulatórias. Organizações que lidam com dados sensíveis podem enfrentar violações de conformidade se credenciais comprometidas levarem a vazamentos de dados. A LGPD, por exemplo, exige que as organizações tomem medidas razoáveis para proteger dados pessoais, e a falha em proteger credenciais de acesso administrativo pode ser interpretada como negligência na segurança da informação.
Mitigações recomendadas pela CISA
Em resposta, a CISA recomendou fortemente que as organizações que utilizam produtos Fortinet tomem medidas defensivas imediatas. Uma recomendação chave é encerrar todas as sessões ativas de SSL VPN e administrativas. As organizações também devem redefinir todas as senhas associadas aos dispositivos Fortinet, particularmente aquelas expostas à internet, e impor políticas fortes de senhas.
Outro passo crítico de mitigação envolve a proteção do armazenamento de credenciais. A CISA recomenda verificar se as credenciais de administrador são protegidas usando a Função de Derivação de Chave Baseada em Senha 2 (PBKDF2), um algoritmo de hash mais seguro. Mecanismos de hash mais antigos ou mais fracos devem ser removidos de acordo com as orientações mais recentes da Fortinet.
As organizações também são aconselhadas a realizar revisões minuciosas de logs. Isso inclui analisar logs de firewall, registros de acesso VPN, logs de autenticação e atividade de controlador de domínio em busca de sinais de comportamento suspeito. Indicadores como tentativas de login incomuns, criação de contas não autorizadas e alterações inesperadas de configuração podem sinalizar comprometimento.
Recomendações para CISOs e equipes de SOC
Para fortalecer as defesas, a CISA recomenda habilitar autenticação multifatorial (MFA) resistente a phishing em todos os pontos de acesso remoto e interfaces administrativas. Isso adiciona uma camada de proteção, mesmo que as credenciais já tenham sido expostas. Reduzir a superfície de ataque é outra prioridade chave. Administradores devem garantir que as interfaces de gerenciamento Fortinet não estejam expostas à internet pública.
O acesso deve ser restrito a redes internas confiáveis, e quaisquer contas desnecessárias ou não autorizadas devem ser removidas imediatamente. A campanha FortiBleed destaca a importância de medidas de segurança proativas, incluindo autenticação forte, gerenciamento adequado de credenciais e monitoramento contínuo. Embora nenhuma CVE específica tenha sido diretamente vinculada a esta campanha, a escala e o impacto da exposição demonstram como configurações incorretas e vazamentos de credenciais podem criar lacunas de segurança significativas.
O que fazer agora
As organizações são encorajadas a revisar as orientações da CISA e relatórios de inteligência de ameaças para avaliar sua exposição e tomar medidas imediatas. À medida que os atores de ameaças continuam a evoluir suas táticas, proteger dispositivos de borda como firewalls e gateways VPN permanece crítico para manter a segurança geral da rede. A auditoria regular de configurações de VPN e a revisão de logs de autenticação devem se tornar práticas contínuas para mitigar riscos futuros.