Segundo análises divulgadas por empresas de inteligência de ameaças, os invasores teriam utilizado credenciais obtidas por meio de malware do tipo infostealer e de incidentes anteriores para acessar interfaces VPN SSL e dispositivos FortiGate. Após a coleta dos dados, os criminosos empregaram GPUs para quebrar hashes de senhas e realizar ataques automatizados em larga escala contra firewalls Fortinet e servidores Microsoft SQL Server expostos à internet. Em alguns casos, a movimentação dos invasores teria avançado para ambientes internos, incluindo controladores de domínio do Active Directory.
A repercussão do caso levou a Fortinet a se pronunciar oficialmente. Em comunicado divulgado nesta semana, a empresa afirmou que não há evidências de uma nova violação de seus sistemas. Segundo a fabricante, a campanha observada utiliza dados provenientes de incidentes antigos e credenciais previamente comprometidas, combinadas com tentativas de força bruta para obter acesso a dispositivos e redes corporativas. A companhia reforçou que a atividade não está relacionada a nenhuma vulnerabilidade recentemente divulgada.
O episódio reacende preocupações sobre a exposição histórica de equipamentos FortiGate. Em 2025, mais de 15 mil configurações de firewalls Fortinet foram vazadas na internet após ataques associados à exploração da vulnerabilidade CVE-2022-40684. Os arquivos continham configurações completas, certificados de gerenciamento e, em alguns casos, credenciais VPN em texto claro, permitindo que criminosos reutilizassem essas informações em novas campanhas.
Especialistas destacam que a ameaça atual não depende necessariamente de novas falhas de software. O principal risco está no reaproveitamento de senhas antigas, credenciais vazadas em outras plataformas e dispositivos expostos diretamente à internet. Relatórios recentes mostram que grupos criminosos continuam explorando credenciais fracas e portas de administração abertas para assumir o controle de appliances FortiGate e obter persistência dentro das redes corporativas.
Recomendações para organizações
Diante do cenário, especialistas recomendam que empresas que utilizam equipamentos Fortinet adotem medidas imediatas de mitigação:
Redefinir senhas de administradores e usuários VPN;
Habilitar autenticação multifator (MFA) para todos os acessos remotos;
Revisar logs de autenticação em busca de acessos suspeitos;
Verificar a existência de contas administrativas desconhecidas;
Atualizar FortiOS e demais componentes para as versões mais recentes;
Restringir interfaces de gerenciamento expostas à internet;
Monitorar movimentações incomuns em ambientes Active Directory e servidores críticos.
Embora a Fortinet afirme que não houve uma nova violação de seus sistemas, o caso demonstra como credenciais roubadas em incidentes passados continuam sendo uma das principais portas de entrada para ataques corporativos. Para equipes de segurança, a recomendação é tratar qualquer credencial associada a dispositivos FortiGate como potencialmente exposta até que uma verificação completa seja concluída
