Segurança de Firewall: o caso FortiBleed nas PMEs

Um firewall atualizado pode continuar vulnerável sem que a empresa perceba. Foi exatamente isso que o FortiBleed revelou ao expor credenciais de mais de 74 mil firewalls Fortinet, no mês passado. O caso reacendeu uma discussão que muitas pequenas e médias empresas ainda tratam como problema de grande corporação: a segurança de firewall. Afinal, equipamentos de empresas como Samsung, Siemens e Foxconn apareceram na lista de organizações afetadas. Dificilmente uma PME pode se considerar fora do radar dos criminosos.

Por que a segurança de firewall virou prioridade após o FortiBleed

O mais chamativo no caso FortiBleed não foi uma falha de software recém-descoberta. Pesquisadores confirmaram que não havia nenhuma vulnerabilidade nova envolvida. Em vez disso, o grupo por trás do ataque explorou um problema conhecido. Muitos firewalls corporativos foram atualizados para versões recentes do FortiOS, mas mantiveram por baixo do capô senhas de administrador em um formato de criptografia antigo. Esse formato era mais fácil de quebrar. Como consequência, milhares de credenciais válidas foram reunidas em um banco de dados e usadas para acessar interfaces de administração expostas diretamente na internet.

O modo de operação também chama atenção. Segundo pesquisadores que analisaram o caso, o grupo por trás do FortiBleed seguiu um roteiro bastante metódico. Primeiro, fez varreduras em massa com ferramentas como Masscan e Shodan para localizar dispositivos FortiGate expostos publicamente. Depois, organizou as credenciais obtidas em bancos de dados segmentados por país, setor e porte da empresa. Esse nível de organização sugere uma profissionalização pouco comum em campanhas de credenciais vazadas. Essa organização por porte de empresa é justamente o motivo pelo qual PMEs não podem se sentir protegidas pelo tamanho. O critério de seleção dos alvos não foi apenas oportunista.

O que isso significa na prática para o seu firewall

Por isso, o episódio funciona como um lembrete incômodo. A segurança de firewall não depende apenas de comprar um bom equipamento. Ela depende de como esse equipamento é configurado, atualizado e monitorado ao longo do tempo. Um firewall empresarial mal configurado protege tão pouco quanto nenhum firewall.

A linha do tempo do caso também ajuda a entender a velocidade com que esse tipo de exposição pode escalar. O pesquisador de segurança Volodymyr “Bob” Diachenko encontrou o banco de dados exposto e divulgou o achado em 13 de junho de 2026. Em menos de uma semana, a CISA, nos Estados Unidos, e o NCSC, no Reino Unido, já haviam publicado alertas de segurança independentes recomendando ações imediatas. As estimativas sobre o número exato de dispositivos comprometidos variaram entre diferentes empresas de inteligência de ameaças, indo de cerca de 30 mil a mais de 86 mil firewalls. Essa variação é normal em incidentes dessa escala, já que cada organização analisa recortes diferentes do mesmo vazamento. Entre os afetados, o levantamento incluiu tanto multinacionais quanto órgãos governamentais. Isso reforça que o critério de exposição foi técnico, e não o porte ou o setor da vítima.

FortiBleed não é um caso isolado no histórico de firewalls Fortinet

Vale registrar que esse não é o primeiro grande incidente envolvendo firewalls Fortinet expostos à internet. Em 2020, uma onda de exploração em massa da vulnerabilidade CVE-2018-13379 já havia vazado credenciais de aproximadamente 50 mil dispositivos Fortinet. Mais recentemente, a falha conhecida como XORtigate (CVE-2023-27997) voltou a colocar appliances Fortinet no centro de campanhas de invasão. Entre essas atividades estão ações associadas ao grupo Volt Typhoon, ligado a operações de espionagem contra infraestrutura crítica.

Esse histórico reforça um ponto central para qualquer empresa que dependa de firewalls como primeira linha de defesa. Dispositivos de perímetro são alvos recorrentes justamente porque ocupam a fronteira entre a rede interna e a internet. Cada novo incidente, incluindo o FortiBleed, confirma que tratar esse equipamento como uma caixa que “só funciona sozinha” é uma aposta arriscada.

Os erros mais comuns e comprometedores

Empresas menores costumam cometer os mesmos deslizes, geralmente por falta de uma equipe dedicada de TI. A interface de administração do firewall, por exemplo, frequentemente permanece acessível pela internet pública, quando deveria estar restrita à rede interna ou a uma VPN. O pesquisador de segurança Kevin Beaumont analisou o vazamento do FortiBleed. Segundo ele, a maioria dos dispositivos afetados tinha justamente essa interface de gerenciamento aberta ao público, o que facilitou a ação dos criminosos.

Da mesma forma, senhas antigas raramente são trocadas depois de uma atualização de sistema, o que deixa credenciais vulneráveis armazenadas por meses ou até anos. Isso acontece porque, tecnicamente, o FortiOS mantém a senha antiga em um formato de criptografia mais fraco até que o administrador faça login manualmente após a atualização. Sem esse passo, o equipamento continua exposto mesmo depois de “atualizado”. Além disso, a ausência de autenticação multifator transforma qualquer senha vazada em uma porta de entrada imediata. A falta de revisão de logs de autenticação e VPN, por sua vez, atrasa a detecção de qualquer movimento suspeito dentro da rede.

Outro erro recorrente é tratar o firewall como uma solução definitiva, instalada uma vez e esquecida em seguida. Na prática, a segurança de firewall exige revisão periódica de logs, atenção a acessos fora do padrão e atualizações constantes de software. Sem esse acompanhamento, um equipamento comprado com a melhor das intenções acaba operando com brechas que ninguém percebe até que seja tarde demais.

Como fortalecer a segurança de firewall na sua empresa

Algumas medidas práticas fortalecem a segurança de firewall e reduzem drasticamente o risco, sem exigir grandes investimentos, apenas disciplina de configuração.

Restrinja o acesso administrativo

A primeira e mais urgente medida é remover a interface de administração do alcance público da internet. É uma recomendação tanto da CISA quanto do próprio time de segurança da Fortinet. O acesso deve ficar restrito a redes internas, conexões VPN autorizadas ou, idealmente, a uma rede de gerenciamento fora de banda.

Troque as credenciais antigas

Vale forçar a troca de todas as senhas administrativas, já que isso costuma acionar automaticamente métodos de criptografia mais modernos e resistentes a quebra por força bruta. É um passo simples de configuração de firewall, mas muitas empresas pulam essa etapa depois de uma atualização.

Ative a autenticação multifator

A MFA merece prioridade máxima, principalmente em contas de administrador e acessos remotos. Ela neutraliza boa parte das tentativas de invasão, mesmo quando uma senha já foi comprometida.

Monitore os logs continuamente

A administração de firewall não deve se limitar ao próprio equipamento. Agências de segurança recomendam checar também registros de autenticação, de VPN e até de controladores de domínio. O objetivo é buscar sinais de movimentação lateral, contas suspeitas ou mudanças de configuração não autorizadas.

Mantenha um plano de resposta a incidentes

Manter o FortiOS ou qualquer outro sistema de firewall corporativo atualizado é essencial. O mesmo vale para revisar logs com regularidade e documentar previamente quem faz o quê durante um incidente. Nenhuma dessas ações é complexa isoladamente; juntas, elas elevam de forma consistente a segurança de firewall da empresa.

Segurança também é rotina, não apenas tecnologia

Investir em um equipamento robusto ajuda, mas o verdadeiro diferencial está na constância. Monitorar acessos, revisar configurações e treinar a equipe para reconhecer tentativas de phishing fazem tanta diferença quanto o firewall em si. Poucas PMEs têm estrutura interna para manter essa vigilância de segurança de rede todos os dias. Por isso, contar com um parceiro de TI que acompanhe o ambiente de perto costuma ser o caminho mais realista.

O próprio caso FortiBleed mostrou o valor prático desse acompanhamento. A empresa de inteligência de ameaças Hudson Rock disponibilizou uma ferramenta gratuita para qualquer organização verificar se suas credenciais Fortinet apareceram no vazamento. Já a Huntress, especializada em segurança gerenciada, usou o próprio banco de dados exposto pelos criminosos para notificar proativamente os clientes que constavam na lista de afetados. A empresa agiu antes mesmo que esses ataques fossem convertidos em incidentes reais. Ou seja, quem já contava com um parceiro de TI monitorando o cenário levou vantagem justamente no momento mais crítico. Esse momento é o intervalo entre a descoberta do vazamento e a ação dos criminosos.

O FortiBleed reforça uma lição simples para qualquer empresa conectada à internet. Um firewall protege enquanto recebe atenção contínua: atualizações aplicadas de fato, acessos revisados e senhas renovadas depois de cada mudança. Assim que essa rotina para, o equipamento perde a função para a qual foi comprado, mesmo continuando ligado e configurado. A Amicom acompanha esse cenário de perto e ajuda pequenas e médias empresas a manter seus firewalls configurados, atualizados e monitorados no dia a dia. Fale com a equipe da Amicom e descubra como está a proteção da sua empresa hoje.

Tags:

Sem tags

Blogs recentes
Tags
AMICOM Rede Industrial Maturidade de TI LGPD Conectividade empresarial Nível de maturidade de TI Wi-FI Gestão de TI Infraestrutura de TI Proteção de dados segurança da informação Segurança cibernética

Descubra como modernizar sua TI com segurança

Agende uma conversa com nossos especialistas e veja como sua infraestrutura pode evoluir com segurança e eficiência

Agendar Agora Seta para a direita