O dispositivo que protege sua rede virou o dispositivo que espiona sua rede. FortiBleed, descoberto em junho de 2026 quando o servidor operacional do atacante foi exposto, revelou uma operação de escala industrial: 430 mil firewalls FortiGate mapeados como alvos, 86 mil+ com credenciais comprometidas verificadas, 19 mil+ sendo ativamente usados como sniffers de tráfego. O firewall que deveria filtrar ataques passou a capturar credenciais em tempo real. Nós analisamos os dados e o sinal é claro: isso não é um bug de código — é uma falha estrutural de higiene de credenciais.
A escala: 430 mil firewalls, 86 mil+ credenciais, 19 mil+ sniffers ativos
Os números são os que assustam. Segundo os dados expostos no servidor operacional do atacante, 430 mil firewalls FortiGate foram mapeados como alvos potenciais. Desses, 86 mil+ tiveram credenciais comprometidas verificadas — o atacante confirmou que as credenciais funcionavam. E 19 mil+ estavam sendo ativamente usados como sniffers de tráfego, capturando credenciais em tempo real dos fluxos que passavam por eles.
Não é um ataque pontual. É uma operação industrializada que transformou a infraestrutura de segurança da vítima em sua própria infraestrutura de espionagem. Cada firewall comprometido vira um ponto de escuta permanente — e coleta mais credenciais que alimentam mais scanning.
A técnica: FortigateSniffer e o comando legítimo que vira arma
A técnica é o que diferencia o FortiBleed de ataques convencionais. Segundo a análise da operação, uma ferramenta em Golang chamada FortigateSniffer abusa um comando legítimo do FortiOS: diagnose sniffer packet. Esse comando existe para diagnóstico de rede — o firewall o executa como parte de sua funcionalidade normal.
O FortigateSniffer monitora 24 protocolos: Kerberos, LDAP, SMB, RADIUS, NTLM, MySQL, FTP, Telnet, RDP, SMTP e outros. Zero malware. O firewall executa seu próprio diagnóstico de rede, só que o atacante lê a saída via SSH. A ferramenta opera apenas das 07:00 às 18:00 horário de Moscou — evasão de horário comercial que reduz a chance de detecção por equipes fora do horário. GeoIP filter restringe o sniffing a ranges específicos, limitando a exposição a redes-alvo. Segundo os dados, 6.127 dispositivos tiveram cerca de 90% de sucesso de validação SSH.
A infraestrutura de cracking: 45 GPUs, bot Telegram e loop auto-alimentado
O cracking offline é orquestrado por um cluster de 45 GPUs via Vast.ai, coordenado por um bot Telegram chamado HASHBOT. Segundo os dados da operação, o atacante não apenas quebra senhas — ele industrializou o processo. O HASHBOT gerencia o pipeline de cracking e alimenta os resultados de volta para o scanning.
O loop é auto-alimentado: credenciais coletadas pelos sniffers alimentam mais scanning, que compromete mais firewalls, que viram mais sniffers, que coletam mais credenciais. Cada firewall comprometido não é apenas uma vítima — é um novo sensor na rede de espionagem do atacante.
Os números: 110 milhões de credenciais, mas o detalhe importa
Segundo os dados expostos, 110 milhões de credenciais foram identificadas em 659 pipelines de coleta. Mas o detalhe importa: 81% são tokens MySQL (89 milhões). Os operacionalmente significativos somam cerca de 16 milhões — 14,8 milhões RADIUS, 924K NTLM, 130K Kerberos. Esses são os que realmente permitem acesso a infraestrutura crítica.
O perfil das contas é revelador: 63,3% eram admin default ou genéricas — 35% admin genérico e 28,3% contas built-in Fortinet. Não é cracking sofisticado. É higiene de credenciais. Um contratante de defesa da OTAN (Turquia) teve documentos classificados e cópias de segurança DFS exfiltrados. A CISA emitiu advisory emergencial em 18/06. A Fortinet publicou resposta em 19/06.
Não é uma nova vulnerabilidade — é uma falha de higiene
A Fortinet confirmou publicamente: "This is not a new Fortinet vulnerability." CVEs anteriores (CVE-2026-24858, CVE-2025-59718, CVE-2022-42475, CVE-2018-13379) criaram pools de credenciais que foram agregados ao longo do tempo. O atacante não precisou de um zero-day — precisou de credenciais que já estavam comprometidas.
O PBKDF2 introduzido no final de 2025 só protegeu admins que fizeram login após o patch. O campo old-password em config backups manteve hashes legados — senhas antigas permaneceram vulneráveis mesmo após o patch. E senhas de 25 caracteres apareceram no dataset por infostealers nas workstations, não por cracking. Complexidade de senha sozinha não basta quando o atacante coleta a credencial antes que ela chegue ao firewall.
O loop auto-alimentado: a ameaça estrutural
O loop auto-alimentado é a ameaça estrutural. Cada firewall comprometido vira ponto de escuta que coleta mais credenciais, que alimentam mais scanning. É uma operação industrializada que se sustenta sozinha. Segundo o Mysterium VPN, o atacante é provavelmente SantaAd, um IAB russo (Initial Access Broker) que vende acesso a partir de US$ 60 mil.
O modelo de negócio é claro: comprometa firewalls com credenciais vazadas, use-os para coletar mais credenciais, venda acesso à infraestrutura comprometida. O custo de entrada é baixo — credenciais default e contas built-in representam 63,3% do total — e o retorno é alto: acesso a redes corporativas inteiras.
CISA e Fortinet: respostas oficiais
A CISA emitiu advisory emergencial em 18 de junho de 2026. A Fortinet publicou resposta oficial em 19 de junho. Ambas as organizações concordam em um ponto: a exposição de interfaces de gerência à internet é o problema estrutural. Não há patch para credenciais default. Não há hotfix para contas built-in que nunca foram rotacionadas. A correção é arquitetural, não de código.
Conclusão: não se pode aplicar patch em um problema de credenciais default
Nós repetimos: você não pode aplicar patch para corrigir um problema de credenciais default. O FortiBleed não explora um bug de código — explora uma falha de higiene que persiste há anos. CVEs anteriores criaram pools de credenciais. Contas built-in nunca foram rotacionadas. Interfaces de gerência permaneceram expostas à internet. O PBKDF2 protegeu apenas quem fez login após o patch. Infostealers coletaram senhas de 25 caracteres nas workstations antes que chegassem ao firewall.
A correção é credenciais + MFA + remover interfaces de gerência da internet. Não existe atalho. Na Tech86, nós ajudamos empresas a auditar e corrigir exatamente esse tipo de falha estrutural — antes que o firewall que deveria proteger a rede vire o dispositivo que espiona a rede.