Em resposta oficial ao avanço da massiva campanha de roubo de credenciais batizada de FortiBleed, a Fortinet emitiu um posicionamento técnico esclarecendo que as intrusões não estão associadas à exploração de novas falhas de segurança (zero-days) em seus produtos. De acordo com a fabricante, a operação baseia-se na reciclagem automatizada de dados anteriormente vazados e no abuso de firewalls desatualizados ou com configurações frágeis de controle de acesso.
Base de credenciais ativas sobe para 86 mil dispositivos
As investigações conjuntas conduzidas pela fabricante, por agências de inteligência como a CISA e por empresas de resposta a incidentes revelaram que o banco de dados compilado pelos operadores russos expandiu-se, totalizando agora mais de 86.644 credenciais administrativas e de VPN validadas e em pleno funcionamento. O volume de acessos legítimos expostos abrange ativos periféricos distribuídos por 194 países.
A análise do PSIRT da Fortinet apontou que o sucesso dos atacantes, estimados em uma campanha que disparou mais de 1,16 bilhão de tentativas de autenticação, deve-se essencialmente ao reaproveitamento de credenciais coletadas em incidentes passados, à pulverização de senhas (password spraying) e a ataques de força bruta contra equipamentos expostos à internet que mantêm uma higiene de senhas fraca e não possuem autenticação de múltiplos fatores (MFA) habilitada. O grupo de e-crime tirou proveito do fato de que muitas organizações aplicaram correções de firmware nos últimos anos, mas falharam em rotacionar as chaves de acesso e as senhas de administrador após as mitigações, deixando os acessos antigos vulneráveis.
Otimização de criptografia e o papel da supercomputação
O aluguel de infraestruturas de supercomputação em nuvem pelos cibercriminosos desempenhou um papel central na quebra massiva dos hashes de senhas contidos nos arquivos de configuração extraídos dos firewalls. Pesquisadores de segurança detalharam que a eficácia da quebra de hashes pelos atacantes ocorreu principalmente em dispositivos operando com o algoritmo antigo de armazenamento baseado em SHA-256.
Historicamente, as configurações dos dispositivos FortiGate mantinham chaves sob essa criptografia legada menos resiliente. A fabricante introduziu suporte para o algoritmo de derivação de chave baseado em senha mais robusto, o PBKDF2, em atualizações recentes do FortiOS (especificamente nas linhas 7.2.11, 7.4.8 e 7.6.1). No entanto, auditorias de terceiros indicam que mesmo quando os administradores atualizam as senhas para o formato PBKDF2, resquícios dos hashes antigos em SHA-256 podem permanecer armazenados retroativamente no parâmetro oculto old-password para fins de compatibilidade, servindo de alvo para os scripts de extração da botnet se o appliance for invadido.
Recomendações urgentes de endurecimento perimetral
Diante da escala sistêmica da campanha, a Fortinet iniciou um processo direto de notificação das organizações cujos sistemas foram identificados no banco de dados vazado e está colaborando com agências policiais internacionais na investigação da infraestrutura dos criminosos. Para CISOs e gestores de infraestrutura, a fabricante e a CISA emitiram ordens expressas de endurecimento (hardening) imediato das caixas perimetrais.
As equipes de segurança das empresas afetadas devem encerrar compulsoriamente todas as sessões ativas de VPN e de administrador nos firewalls e proceder com a rotação absoluta de todas as senhas da infraestrutura. É mandatória a implementação de políticas de MFA resistente a phishing para todos os usuários. Adicionalmente, as organizações precisam atualizar o firmware dos appliances para as versões mais recentes que forçam o uso exclusivo de criptografia PBKDF2 e revisar minuciosamente os logs de auditoria para caçar eventuais contas clonadas ou persistências estabelecidas por meio de conexões associadas à campanha FortiBleed.
