2026-06-22 00:00
← VoltarA empresa de segurança SOCRadar afirma que a campanha FortiBleed em grande escala visando dispositivos Fortinet FortiGate usou sniffers personalizados para coletar segredos de autenticação de firewalls comprometidos e roubar credenciais. O relatório, publicado hoje, expande a pesquisa anterior da empresa sobre a campanha em grande escala “FortiBleed”, que revelou uma coleção de credenciais VPN da Fortinet associadas a mais de 80.000 URLs de firewall em todo o mundo. De acordo com o SOCRadar, a operação teve como alvo mais de 430.000 firewalls FortiGate em todo o mundo e está ativa pelo menos desde fevereiro de 2026. Os pesquisadores dizem que o ator da ameaça por trás desta campanha atua como um corretor de acesso inicial (IAB), usando preenchimento de credenciais, ataques de força bruta, coleta de credenciais e quebra de senha offline para obter acesso a redes corporativas. Uma das descobertas dos pesquisadores é o suposto uso de uma ferramenta baseada em Golang chamada “FortigateSniffer”, que abusa da funcionalidade integrada de diagnóstico de pacotes sniffer do FortiOS para capturar o tráfego de autenticação que atravessa dispositivos FortiGate comprometidos. De acordo com o SOCRadar, os invasores abusaram desse recurso legítimo em dispositivos comprometidos para roubar credenciais do tráfego de rede que passava pelo firewall. SOCRadar afirma que a ferramenta foi projetada para monitorar o tráfego em busca de credenciais, hashes de senha e segredos de autenticação de...
A empresa de segurança SOCRadar afirma que a campanha FortiBleed em grande escala visando dispositivos Fortinet FortiGate usou sniffers personalizados para coletar segredos de autenticação de firewalls comprometidos e roubar credenciais. O relatório, publicado hoje, expande a pesquisa anterior da empresa sobre a campanha em grande escala “FortiBleed”, que revelou uma coleção de credenciais VPN da Fortinet associadas a mais de 80.000 URLs de firewall em todo o mundo. De acordo com o SOCRadar, a operação teve como alvo mais de 430.000 firewalls FortiGate em todo o mundo e está ativa pelo menos desde fevereiro de 2026. Os pesquisadores dizem que o ator da ameaça por trás desta campanha atua como um corretor de acesso inicial (IAB), usando preenchimento de credenciais, ataques de força bruta, coleta de credenciais e quebra de senha offline para obter acesso a redes corporativas. Uma das descobertas dos pesquisadores é o suposto uso de uma ferramenta baseada em Golang chamada “FortigateSniffer”, que abusa da funcionalidade integrada de diagnóstico de pacotes sniffer do FortiOS para capturar o tráfego de autenticação que atravessa dispositivos FortiGate comprometidos. De acordo com o SOCRadar, os invasores abusaram desse recurso legítimo em dispositivos comprometidos para roubar credenciais do tráfego de rede que passava pelo firewall. SOCRadar afirma que a ferramenta foi projetada para monitorar o tráfego em busca de credenciais, hashes de senha e segredos de autenticação de vários protocolos, incluindo RADIUS, NTLM, Kerberos e LDAP. “A ferramenta foi projetada para monitorar o tráfego em 24 protocolos, analisar dados de autenticação e extrair credenciais de fluxos de rede”, disse SOCRadar no relatório.
Embora a Fortinet tenha dito anteriormente ao BleepingComputer na semana passada que este incidente é uma coleção de credenciais previamente comprometidas, em vez de uma nova vulnerabilidade ou incidente, o relatório da SocRadar mostra uma campanha em andamento que está comprometendo ativamente os dispositivos VPN FortiGate. Farejando credenciais A empresa diz que o ator da ameaça implantou uma estrutura de sniffer de coleta de credenciais chamada “FortigateSniffer” em dispositivos FortiGate comprometidos depois de primeiro obter acesso administrativo por meio de preenchimento de credenciais e ataques de força bruta. Esta ferramenta supostamente se conecta a dispositivos FortiGate via SSH e inicia o comando FortiOS diagnostic sniffer packet. O comando “diagnose sniffer packet” é uma ferramenta de diagnóstico integrada do FortiOS que os administradores usam para solucionar problemas de conectividade, autenticação e desempenho de rede. O comando permite que os administradores inspecionem o tráfego de rede que passa por um firewall FortiGate em tempo real, tornando-o útil para identificar falhas de conexão, problemas de roteamento e erros de autenticação. O comando foi configurado para monitorar o tráfego para protocolos de autenticação e serviços de acesso remoto, incluindo Kerberos, LDAP, SMB, RADIUS, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP e Telnet. O relatório afirma que os dados dos pacotes coletados dos dispositivos FortiGate foram processados através de um componente chamado “SNIFTRAN”, que reconstruiu o tráfego capturado em arquivos PCAP. FortiGate Sniffer analisando dados por meio do Sniftran Fonte: SocRadar Os dados capturados foram então analisados por meio de um "PCAP Deep Analysis Toolkit" baseado em Python que extraiu credenciais de texto não criptografado, hashes de senha, tickets Kerberos, material de autenticação NTLM, credenciais de e-mail, credenciais de banco de dados e outros artefatos de autenticação do tráfego de rede.
Em seguida, o kit de ferramentas gerou arquivos prontos para Hashcat contendo hashes NTLM e Kerberos e extraiu credenciais de texto não criptografado de protocolos como SMTP, IMAP, POP3, MySQL e RADIUS, quando disponíveis. Os atores da ameaça supostamente usaram o utilitário de quebra de senha Hashcat baseado em GPU em execução em um cluster de GPU distribuído para quebrar as credenciais com hash. Em uma atualização publicada na sexta-feira, o especialista em segurança cibernética Kevin Beaumont sugeriu que os invasores também obtiveram credenciais com hash baixando arquivos de configuração do FortiGate de dispositivos comprometidos. Os atores da ameaça extraíram as credenciais com hash e as quebraram usando Hashcat e 36 GPUs de classe empresarial. “A quebra de senha foi hospedada em uma empresa GenAI que aluga computação GPU”, explica Beaumont. “O invasor alugou 36 GPUs de classe empresarial – mais do que a maioria das grandes organizações tem para esforços internos de IA – e em vez de usá-las para tarefas de IA, eles as usaram para quebrar senhas. Ambas as explicações podem explicar as plataformas de cracking dedicadas baseadas em GPU observadas nos servidores do invasor. Para quem gerencia dispositivos Fortinet, Beaumont publicou a lista de endereços IP direcionados nesta campanha.
As organizações que utilizam dispositivos FortiGate devem revisar esta lista e investigar se algum de seus sistemas foi alvo ou comprometido.