Ataques a firewalls exploram palavras-passe fracas

A Fortinet afirmou que a campanha FortiBleed, que está atualmente a atingir firewalls e soluções VPN da fabricante em larga escala, não resulta da exploração de uma nova vulnerabilidade nos seus produtos. Segundo a empresa, os atacantes estão a recorrer a credenciais previamente comprometidas e a técnicas de força bruta para obter acesso a sistemas mal protegidos.

De acordo com a Fortinet, os operadores da campanha conseguiram compilar uma base de dados com mais de 86 mil credenciais válidas associadas a dispositivos da fabricante distribuídos por 194 países.

A investigação preliminar da empresa aponta para a reutilização de credenciais recolhidas em incidentes anteriores, combinada com ataques automatizados contra equipamentos que utilizam palavras-passe fracas ou não têm autenticação multifator ativada.

A fabricante refere que a atividade está relacionada com vulnerabilidades anteriormente divulgadas e corrigidas, nomeadamente a CVE-2026-24858, corrigida em janeiro deste ano, e as CVE-2025-59718 e CVE-2025-59719, para as quais foram disponibilizadas correções em dezembro de 2025.

“Com base na nossa análise inicial, acreditamos que esta atividade envolve a reutilização de credenciais de incidentes anteriores e a utilização de técnicas de força bruta contra dispositivos com práticas de gestão de palavras-passe insuficientes e sem MFA”, refere a Fortinet.

A empresa recorda que já tinha alertado, em março, para o recurso crescente à Inteligência Artificial por parte de cibercriminosos para automatizar a identificação de alvos e a execução de ataques de password spraying contra dispositivos expostos à Internet. Segundo a fabricante, a campanha FortiBleed utiliza precisamente estas abordagens e não está relacionada com qualquer vulnerabilidade recentemente divulgada.

A Fortinet afirma ter identificado os sistemas potencialmente comprometidos e iniciado contactos com os clientes afetados. A empresa está também a colaborar com as autoridades na investigação da campanha.

Como medida de mitigação, recomenda aos administradores que terminem sessões VPN e administrativas ativas, alterem todas as credenciais de acesso e implementem autenticação multifator para contas de administração e utilizadores VPN. A fabricante aconselha ainda a atualização para versões de software que suportem hashing PBKDF2 para credenciais administrativas, assim como a revisão das configurações de firewall e dos registos de atividade para detetar acessos não autorizados.

Outra recomendação passa por restringir o acesso externo às interfaces de gestão apenas a sistemas e endereços de confiança, reduzindo assim a superfície de ataque disponível para potenciais atacantes.