Home Casos Reais de Ciberataques

Casos Reais de Ciberataques

Operação FortiBleed compromete mais de 30 mil dispositivos Fortinet


Em junho de 2026, investigadores da SOCRadar descobriram uma campanha de ciberataques denominada FortiBleed, que comprometeu mais de 30.000 dispositivos Fortinet em cerca de 200 países. O incidente afetou organizações dos setores governamental, telecomunicações, saúde, educação, serviços financeiros e infraestruturas críticas, representando uma ameaça significativa para a segurança das redes empresariais e institucionais.

A investigação começou quando foi identificado um servidor utilizado pelos atacantes para armazenar e gerir credenciais roubadas. A análise revelou uma base de dados com mais de 30.791 combinações válidas de nomes de utilizador e palavras-passe pertencentes a firewalls e gateways VPN da Fortinet. Estas credenciais tinham sido previamente obtidas através de fugas de dados e outras violações de segurança, sendo posteriormente utilizadas para aceder a dispositivos cujas palavras-passe nunca foram alteradas.

Um dos aspetos mais relevantes deste caso é que os atacantes não exploraram vulnerabilidades técnicas nos equipamentos Fortinet. Em vez disso, recorreram à reutilização de credenciais, ataques de força bruta e técnicas de credential stuffing, demonstrando que a falta de boas práticas de gestão de palavras-passe continua a ser uma das principais causas de comprometimento de sistemas.

Os criminosos procuravam dispositivos Fortinet expostos à internet e testavam milhares de credenciais de forma contínua. Quando conseguiam acesso a um equipamento, utilizavam-no para monitorizar o tráfego da rede e recolher novas credenciais, alimentando um ciclo de ataques cada vez mais amplo.

Os investigadores encontraram indícios que apontam para agentes de ameaça de língua russa e verificaram que muitas das organizações visadas estavam localizadas em países membros da NATO. Além do possível objetivo financeiro, existem suspeitas de atividades relacionadas com espionagem cibernética, uma vez que foram identificadas credenciais associadas a entidades do setor da defesa.

Este caso demonstra que a proteção de infraestruturas críticas depende não apenas da tecnologia utilizada, mas também da adoção de boas práticas de segurança. A implementação de autenticação multifator, a alteração regular de palavras-passe, a monitorização dos acessos e a atualização constante dos sistemas são medidas essenciais para reduzir o risco de ataques semelhantes e proteger informações sensíveis.

arrow icon Fonte: https://www.darkreading.com/cyberattacks-data-breaches/sweeping-credential-harvesting-heist-compromises-30k-fortinet-devices.

Quais as medidas de prevenção para evitar estas situações:

O FortiBleed é um exemplo claro de que o perímetro é tão forte quanto as credenciais que o protegem. Os atacantes não precisaram de técnicas avançadas, porque os princípios básicos tinham sido negligenciados. As medidas seguintes teriam fechado a porta a esta campanha e aplicam-se a qualquer organização que opere appliances de segurança expostos à internet.

Alterar passwords predefinidas e antigas

Toda a campanha assentou em credenciais que nunca foram alteradas. As contas predefinidas e integradas devem ser renomeadas ou desativadas, e todas as passwords devem ser substituídas, especialmente quaisquer credenciais anteriores a uma violação de segurança conhecida. A complexidade da password torna-se irrelevante quando uma credencial já foi exposta; só a sua rotação elimina essa exposição.

Aplicar autenticação multifator (MFA) sempre que forem utilizadas passwords

Sempre que as passwords continuem a ser utilizadas, a MFA deve ser obrigatória em todas as contas administrativas e de acesso remoto. Um segundo fator de autenticação neutraliza credenciais roubadas: mesmo que um nome de utilizador e uma password válidos tenham sido expostos, tornam-se inúteis para um atacante que não consiga cumprir a verificação adicional.

Recorrer a passkeys e a métodos de autenticação resistentes a phishing sempre que possível

Melhor ainda, é avançar para além das passwords. As passkeys e os métodos resistentes a phishing, como FIDO2 ou autenticação baseada em certificados, eliminam precisamente o ativo que os atacantes procuram obter, uma vez que deixa de existir um segredo estático e reutilizável que possa ser exposto, usado em credential stuffing ou reutilizado em ataques. A sua adoção elimina uma categoria inteira de ataques baseados em credenciais na origem.

Remover as interfaces de gestão da internet pública

Os portais administrativos e de gestão de VPN nunca devem estar acessíveis a partir da internet aberta. Restringir o acesso a endereços internos de confiança, aplicar políticas locais e adotar Zero Trust Network Access (ZTNA) reduz drasticamente a superfície de ataque. O simples facto de retirar a interface de gestão da exposição pública elimina, por si só, uma parte significativa do risco.

Validar credenciais em todo o parque de dispositivos, nós podemos ajudar

A parte mais difícil de uma campanha como o FortiBleed é perceber se as próprias credenciais da organização já estão expostas. A Devoteam Cyber Trust pode ajudar a validar se ainda existem credenciais predefinidas em uso, cruzar a organização com bases conhecidas de credenciais expostas e comprometidas, e identificar a superfície de ataque exposta. Depois, vamos mais longe, realizando testes de intrusão aos ativos, tanto externa como internamente, para confirmar o que um atacante conseguiria efetivamente alcançar e explorar antes que o faça.

Este episódio é menos uma história sobre a Fortinet e mais uma demonstração de um padrão repetível que voltará a surgir noutros fornecedores e plataformas: uma interface de gestão exposta à internet, credenciais já em circulação em mercados criminosos, gestão fraca ou antiga de passwords e ausência de MFA. Cada uma destas fragilidades é explorável por si só; em conjunto, tornam o ataque praticamente imediato. Fechar qualquer um destes pontos quebra a cadeia, e resolver os quatro torna a organização um alvo demasiado difícil para os atacantes justificarem o esforço.

Os nossos contactos.

Sede

Torre Fernão de Magalhães
Avenida D. João II, nº 43, 9º Piso, Parque das Nações
1990-084, Lisboa | Portugal
T: +351 21 33 03 740
(chamada para rede fixa nacional)
E: info@integrity.pt

E estamos presentes em mais 18 países da região EMEA.
world map
 




Consentimento Cookies X

A Devoteam Cyber Trust S.A. utiliza cookies para fins analíticos e de apresentação de informação mais personalizada, com base no perfil elaborado pelos seus hábitos de navegação. Se pretende informação mais pormenorizada, pode aceder à nossa Política de Cookies.