Exposição de credenciais do Fortinet FortiGate ## O que é isso? Uma vulnerabilidade crítica no Fortinet FortiGate permitiu que invasores acessassem arquivos de configuração de dispositivos sem autenticação. Esses arquivos continham credenciais em texto simples e outros dados confidenciais, o que significa que senhas e informações de acesso podiam ser roubadas sem que o invasor precisasse fazer login no dispositivo. ## Por que isso importa? Os firewalls FortiGate são amplamente utilizados por empresas e organizações governamentais para proteger redes. Quando as credenciais de um firewall são expostas, os invasores podem: - Obter acesso não autorizado à rede protegida pelo dispositivo - Desativar ou modificar regras de firewall - Monitorar o tráfego de rede - Usar as credenciais roubadas para se mover lateralmente pela rede ## Como aconteceu? A vulnerabilidade (CVE-2022-40684) era uma falha de desvio de autenticação que afetava as interfaces de gerenciamento HTTP/HTTPS do FortiGate. Um invasor poderia enviar solicitações HTTP especialmente elaboradas que ignoravam as verificações de autenticação normais, obtendo assim acesso de leitura e escrita ao sistema de arquivos de configuração do dispositivo. ## Quem foi afetado? Organizações que utilizavam versões vulneráveis do FortiOS, FortiProxy e FortiSwitchManager foram expostas. Depois que a vulnerabilidade se tornou pública, um agente de ameaças vazou arquivos de configuração e credenciais de VPN de aproximadamente 87.000 dispositivos FortiGate. ## O que foi feito? A Fortinet lançou patches para corrigir a vulnerabilidade e notificou os clientes diretamente. Os administradores de sistemas foram orientados a: 1. Aplicar as atualizações de firmware disponibilizadas imediatamente 2. Revogar e redefinir todas as credenciais potencialmente comprometidas 3. Revisar os logs de acesso em busca de atividades suspeitas 4. Desativar o acesso à interface de gerenciamento pela internet quando não for necessário ## Lições aprendidas Esse incidente destaca vários princípios importantes de segurança: - **Gerenciamento de patches**: Vulnerabilidades críticas devem ser corrigidas rapidamente, especialmente em dispositivos voltados para a internet - **Princípio do menor privilégio**: Limitar o acesso à interface de gerenciamento reduz a superfície de ataque - **Rotação de credenciais**: Após qualquer violação suspeita, todas as credenciais devem ser redefinidas - **Monitoramento**: O monitoramento contínuo pode ajudar a detectar explorações antes que causem danos significativosFortiBleed Expõe 74.000 Credenciais do FortiGate: O Que o Guia de Hardening da CISA Ensina a Todo DefensorO alerta da CISA de junho de 2026 sobre ataques de credential stuffing contra dispositivos FortiGate expostos à internet é uma aula magistral sobre por que a higiene de credenciais e a exposição da interface de gerenciamento são os dois problemas que continuam vencendo.FortiBleedFortinet FortiGateAviso da CISAProteção de CredenciaisSam·Jun 23, 2026·5 min readLer matéria