Mais de 430 mil firewalls corporativos comprometidos em operação de roubo de credenciais
Operação FortiBleed compromete firewalls e expõe dados de milhões de usuários.
Uma operação criminosa conhecida como FortiBleed afetou mais de 430 mil firewalls da Fortinet, resultando na coleta de mais de 110 milhões de credenciais corporativas. O ataque, que se iniciou em fevereiro, ainda está em andamento, colocando em risco diversas organizações ao redor do mundo.
O Brasil é um dos países impactados, com empresas que utilizam firewalls FortiGate expostas à internet enfrentando riscos significativos. A vulnerabilidade não se deve a uma falha de software, mas sim a senhas fracas criadas pelos administradores, que permitiram que os atacantes interceptassem o tráfego de autenticação.
Em 17 de junho, pesquisadores de segurança descobriram um servidor desprotegido contendo dados de mais de 73 mil dispositivos FortiGate. O Brasil foi classificado como o 11º país mais afetado, embora as informações sobre o método de ataque tenham sido divulgadas posteriormente por empresas que monitoraram a situação.
Os atacantes utilizaram uma funcionalidade de diagnóstico dos firewalls para capturar silenciosamente as credenciais inseridas pelos usuários, transformando o firewall em um ponto de interceptação. Isso resultou em um grande banco de dados de credenciais válidas, que podem ser revendidas ou usadas para invasões mais profundas.
A maioria das organizações afetadas possui menos de 200 funcionários e receitas anuais abaixo de 100 milhões de dólares. No entanto, empresas maiores também foram vítimas, incluindo algumas do Fortune Global 500. O foco em pequenas e médias empresas se deve à suposição de que elas têm firewalls, mas não equipes de segurança dedicadas.
Os setores de serviços de TI, telecomunicações, indústria, serviços financeiros e governo estão entre os mais atingidos. A distribuição geográfica das vítimas é global, com países como Índia, Estados Unidos e Taiwan liderando em número de organizações afetadas.
Os atacantes parecem ser um grupo pequeno, com habilidades técnicas avançadas e utilizando o idioma russo. A operação é considerada um tipo de Initial Access Broker, onde os criminosos invadem redes e vendem o acesso a outras quadrilhas.
Para mitigar os riscos, algumas ações prioritárias são recomendadas. Primeiro, as organizações devem verificar se estão entre as vítimas utilizando ferramentas de consulta disponíveis. Em seguida, é crucial remover as interfaces de gerenciamento dos firewalls da internet, garantindo que não sejam acessíveis externamente.
Além disso, todas as senhas associadas ao ambiente FortiGate devem ser trocadas, incluindo as de administração e acessos VPN. A autenticação em dois fatores deve ser ativada para todos os acessos remotos, tornando senhas roubadas inúteis. Por fim, é aconselhável solicitar auditoria dos logs de autenticação do Active Directory para identificar atividades suspeitas.
O FortiBleed destaca a importância de uma governança eficaz em segurança cibernética, evidenciando que não se trata apenas de tecnologia, mas de práticas de gerenciamento adequadas. As lideranças devem se certificar de que suas interfaces de gerenciamento estão seguras, que as senhas são robustas e que a autenticação multifator está em vigor.
Se houver incerteza em qualquer uma dessas áreas, é fundamental agir rapidamente para evitar que o cibercrime explore essas vulnerabilidades.
