o que é o fortibleed
O FortiBleed é uma campanha automatizada de comprometimento de credenciais que explora firewalls FortiGate e gateways SSL VPN expostos na internet. Até o momento, pesquisadores identificaram mais de 86.644 credenciais confirmadas como válidas, 80.000 endereços IP únicos e 194 países afetados.
O nome foi cunhado por pesquisadores do SOCRadar em junho de 2026. A descoberta aconteceu quando pesquisadores acessaram um servidor mal configurado deixado pelos atacantes, contendo ferramentas de automação, logs de operação e listas de credenciais validadas.
O vetor de ataque não depende de uma vulnerabilidade zero-day. Os atacantes usam credenciais obtidas de vazamentos históricos da Fortinet e bases de dados de infostealers, malwares que roubam senhas em texto plano antes que qualquer criptografia entre em ação.
qual cve está envolvido
Não há um CVE específico associado ao FortiBleed. O CISC (Centro Integrado de Segurança Cibernética do Governo do Brasil) confirmou isso em alerta público emitido em 18 de junho de 2026.
O que existem são vulnerabilidades da Fortinet exploradas no mesmo período, como CVE-2025-59718, CVE-2025-59719 (ambas CVSS 9.8, bypass de autenticação SSO) e o zero-day CVE-2026-24858 (bypass de autenticação FortiCloud SSO). Essas falhas foram corrigidas, mas a campanha FortiBleed opera em paralelo, usando credenciais roubadas por outros meios.
quais versões são afetadas
A campanha afeta dispositivos FortiGate rodando FortiOS e concentradores SSL VPN. A Fortinet introduziu o hashing de senhas baseado em PBKDF2 apenas a partir do FortiOS 7.2.11, 7.4.8 e 7.6.1.
Dispositivos que foram atualizados para essas versões, mas cujos administradores nunca fizeram login novamente, continuaram usando o formato legado de SHA-256 com salt. O atacante usou um cluster de 45 GPUs gerenciado pelo Hashtopolis para quebrar hashes SSL VPN em escala industrial. Senhas complexas de 20+ caracteres foram comprometidas não porque foram quebradas, mas porque já existiam em texto plano em bases de infostealers.
por que está sendo explorado agora
Três fatores convergem para o FortiBleed estar funcionando neste momento. Primeiro, a quantidade massiva de credenciais disponíveis em mercados underground, provenientes de anos de vazamentos e infostealers. Segundo, o fracasso persistente das organizações em rotacionar senhas padrão ou comprometidas. Terceiro, a natureza auto-reforçada da campanha.
Como funciona o ciclo: os atacantes escaneiam a internet, testam credenciais em dispositivos Fortinet e, quando obtêm acesso, implantam sniffers passivos de rede no firewall comprometido. Como o firewall enxerga todo o tráfego do segmento de rede, ele captura novas credenciais, que alimentam de volta a base de dados. Mais dispositivos são comprometidos, mais credenciais são coletadas, e o ciclo se repete.
O Brasil ocupa a 11ª posição no ranking mundial, com aproximadamente 1.737 dispositivos afetados. Entre as organizações confirmadas estão Samsung, Oracle, Foxconn, Siemens, Comcast, PwC, Accenture e Lenovo.
o que sua empresa deve fazer agora
1. rotacione todas as credenciais
Todas. Senhas de VPN, contas de administrador, contas de serviço. Não importa se são complexas, se existiam em bases de infostealers, estão comprometidas. Force a redefinição completa.
2. habilite MFA em todos os gateways externos
MFA neutraliza credenciais roubadas em texto plano. Essa é a medida mais eficaz contra este tipo de campanha. Se a sua organização não usa MFA em dispositivos Fortinet expostos na internet, está em risco imediato.
3. restrinja o acesso à interface de gerenciamento
A interface administrativa do FortiGate não deve ser acessível diretamente pela internet. Use local-in policies para limitar o acesso a faixas de IP confiáveis. Se o FortiCloud SSO não for essencial, desative-o.
4. verifique os logs de acesso
Procure por logins em horários incomuns, IPs de países inesperados, contas de administrador criadas recentemente (como support, ssl-admin, helpdesk). Se encontrar qualquer indício suspeito, assuma comprometimento e ative resposta a incidentes.
5. atualize o FortiOS
Execute a versão mais recente do firmware. Depois de atualizar, faça login novamente em todas as contas de administrador para garantir que as credenciais migraram para o novo formato de hashing.
6. implemente retenção adequada de logs
Muitas investigações ficaram comprometidas porque organizações não mantinham logs por tempo suficiente. O mínimo recomendado são 14 dias, o ideal são 60 a 90 dias.
O FortiBleed não é uma falha de software que se resolve com um patch. É uma campanha de roubo de credenciais que explora hábitos operacionais. Resolver isso exige ação imediata e mudanças duradouras na postura de segurança perimetral da organização.