2026-06-19 00:00
← VoltarA Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) instou na quinta-feira os clientes da Fortinet com dispositivos FortiGate a tomarem medidas para se protegerem contra atividades maliciosas contínuas destinadas a milhares de dispositivos acessíveis pela Internet. A campanha abrangente, que se acredita ser obra de atores ameaçadores de língua russa, recebeu o codinome FortiBleed. O número de dispositivos comprometidos era de 86.644 em 19 de junho de 2026. De acordo com dados do SOCRadar, contas de administrador genéricas (35%) e contas integradas do sistema Fortinet (28,3%) juntas constituem a maioria das credenciais comprometidas. As contas específicas da organização representam 36,7% das credenciais violadas restantes. “Isso aponta diretamente para uma falha generalizada em renomear contas padrão ou alternar credenciais de fábrica, dando ao invasor uma lista de alvos altamente confiável antes mesmo de qualquer força bruta ser necessária”, disse SOCRadar. “As contas específicas da organização no topo da lista são significativas. Isso significa que o invasor não está apenas coletando credenciais padrão, mas também comprometeu com sucesso contas criadas pelas próprias organizações, possivelmente provenientes de violações anteriores em que as senhas nunca foram alteradas.” As telecomunicações, o governo e a educação surgiram como os três principais setores impactados, com a maior exposição localizada na Índia, nos EUA, no México, na Colômbia e na Tailândia....
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) instou na quinta-feira os clientes da Fortinet com dispositivos FortiGate a tomarem medidas para se protegerem contra atividades maliciosas contínuas destinadas a milhares de dispositivos acessíveis pela Internet. A campanha abrangente, que se acredita ser obra de atores ameaçadores de língua russa, recebeu o codinome FortiBleed. O número de dispositivos comprometidos era de 86.644 em 19 de junho de 2026. De acordo com dados do SOCRadar, contas de administrador genéricas (35%) e contas integradas do sistema Fortinet (28,3%) juntas constituem a maioria das credenciais comprometidas. As contas específicas da organização representam 36,7% das credenciais violadas restantes. “Isso aponta diretamente para uma falha generalizada em renomear contas padrão ou alternar credenciais de fábrica, dando ao invasor uma lista de alvos altamente confiável antes mesmo de qualquer força bruta ser necessária”, disse SOCRadar. “As contas específicas da organização no topo da lista são significativas. Isso significa que o invasor não está apenas coletando credenciais padrão, mas também comprometeu com sucesso contas criadas pelas próprias organizações, possivelmente provenientes de violações anteriores em que as senhas nunca foram alteradas.” As telecomunicações, o governo e a educação surgiram como os três principais setores impactados, com a maior exposição localizada na Índia, nos EUA, no México, na Colômbia e na Tailândia.
Diz-se que o ator da ameaça fez uma varredura em massa na Internet em busca de endpoints de login remoto da Fortinet e, em seguida, empregou uma ferramenta personalizada para pulverizar esses endpoints identificados com combinações conhecidas de login e senha, na tentativa de invadi-los. O ataque totalmente automatizado é construído em torno de uma abordagem autossustentável em duas etapas: as credenciais são legítimas e válidas, com os invasores verificando cada uma delas antes de serem adicionadas a um banco de dados de logins funcionais confirmados. “A escala desta violação afecta quase todos os sectores da economia global, não poupando nenhuma indústria”, disse Hudson Rock. “Os atores da ameaça construíram um banco de dados verificado de credenciais de trabalho para algumas das maiores empresas do planeta”. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) descreveu o FortiBleed como uma campanha global que visa firewalls Fortinet voltados para a Internet e gateways VPN usando métodos como força bruta, ataque de dicionário e preenchimento de credenciais. Suspeita-se que os agentes da ameaça provavelmente exploraram mecanismos de hash de credenciais mais antigos e a forma como as credenciais foram historicamente armazenadas nos arquivos de configuração do FortiGate para realizar o ataque em grande escala. “A Fortinet introduziu hash de senha baseado em PBKDF2 para credenciais de administrador no FortiOS 7.2.11, 7.4.8 e 7.6.1, substituindo o mecanismo de armazenamento herdado baseado em SHA-256”, disse Arctic Wolf. “No entanto, ao atualizar de versões anteriores, as senhas de administrador existentes permanecem armazenadas como hashes SHA-256 até que o administrador correspondente faça login com sucesso após a atualização.” “Como resultado, muitas organizações provavelmente continuam a armazenar credenciais de administrador usando SHA-256 mais antigo com mecanismos de hashing Salt.” Em uma declaração compartilhada com o The Hacker News, um porta-voz da Fortinet disse que “os dados envolvidos são provavelmente um novo compartilhamento de dados de incidentes anteriores, bem como força bruta de credenciais, e não relacionados a nenhum incidente ou aviso atual”, instando as organizações a seguirem as melhores práticas, incluindo a rotação regular de credenciais de segurança e a ativação da autenticação multifator (MFA).
A CISA delineou as seguintes recomendações para se defender contra a atividade - O incidente FortiBleed veio à tona pela primeira vez na semana passada, depois que o pesquisador de segurança Volodymyr “Bob” Diachenko descobriu um servidor contendo o banco de dados de credenciais de login funcionais para milhares de firewalls e gateways VPN em 194 países. De acordo com o SOCRadar, o servidor também preparou as ferramentas e scripts de automação do invasor. As descobertas demonstram mais uma vez como a reutilização de credenciais e a falta de higiene de senhas podem ser transformadas em armas por atores mal-intencionados, sem mencionar que os dispositivos de segurança de perímetro continuam sendo uma ferramenta lucrativa. meta para obter acesso inicial a ambientes corporativos. Em uma postagem compartilhada em 19 de junho de 2026, Fortinets disse que a campanha FortiBleed provavelmente envolve os atores da ameaça reutilizando credenciais de incidentes anteriores, como CVE-2026-24858, CVE-2025-59718 e CVE-2025-59719, juntamente com o emprego de técnicas de força bruta contra dispositivos com higiene de senha fraca e sem autenticação multifator (MFA). Para se defender contra atividades maliciosas, a empresa descreveu as seguintes recomendações: “Se a integração AD/LDAP estiver configurada, é importante tratar esta conta como comprometida e monitorar seu AD para uso para autenticação em outro lugar ou criação de contas adicionais e monitorar sua rede para movimento lateral”, disse Carl Windsor, diretor de segurança da informação (CISO) da Fortinet. Aprenda como descobrir o uso oculto da IA, ver quais dados ela pode acessar, mapear cada ação da IA para um proprietário humano e aplicar governança prática sem grandes mudanças na infraestrutura. Aprenda como conter ataques de IA no estilo Mythos com controles práticos de Zero Trust que reduzem a exposição, interrompem o movimento lateral e limitam o risco.
Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.