CibersegurançaCybersecurity RiscosRisks Seg. InformaçãoInfo Security

20 Jun 2026 · 7 min de leitura Jun 20, 2026 · 7 min read

FortiBleed: 86 mil firewalls Fortinet comprometidos e o que isso revela sobre a escala da automação no cibercrime FortiBleed: 86,000 Fortinet firewalls compromised — and what it reveals about the scale of automation in cybercrime

Um bilhão de tentativas de login, um cluster de 45 GPUs e nenhuma vulnerabilidade zero-day. A campanha FortiBleed expôs credenciais de dezenas de milhares de dispositivos Fortinet em 194 países — e é um retrato nítido de para onde o cibercrime está caminhando. A billion login attempts, a 45-GPU cracking cluster, and not a single zero-day vulnerability. The FortiBleed campaign exposed credentials for tens of thousands of Fortinet devices across 194 countries — and it's a vivid snapshot of where cybercrime is heading.

Em 18 de junho de 2026, o Canadian Centre for Cyber Security emitiu o alerta AL26-014 sobre uma campanha batizada de "FortiBleed", que resultou na exposição de credenciais administrativas e de VPN SSL de dispositivos Fortinet (FortiGate) em 194 países. No mesmo dia, a CISA — agência de cibersegurança dos Estados Unidos — publicou seu próprio alerta confirmando exploração ativa.

Os números cresceram rapidamente conforme a investigação avançou: as primeiras estimativas da SOCRadar falavam em pouco mais de 30 mil dispositivos; dias depois, a Hudson Rock e o pesquisador Kevin Beaumont elevaram a contagem para 75 mil; em 19 de junho, a SecurityWeek e a própria SOCRadar já reportavam 86.644 credenciais verificadas como funcionais — cerca de metade de todos os firewalls Fortinet expostos na internet hoje.

86.644CREDENCIAIS VERIFICADAS COMO ATIVAS
194PAÍSES AFETADOS
1,16 biTENTATIVAS DE LOGIN CONTRA FORTIGATE
45 GPUsCLUSTER DEDICADO DE QUEBRA DE SENHAS

Como o vazamento foi descoberto

De forma incomum, o FortiBleed não veio à tona por um aviso de fornecedor ou postagem em fórum criminoso — foi descoberto por pesquisadores que encontraram um servidor de operação dos próprios atacantes deixado aberto na internet. O pesquisador Volodymyr "Bob" Diachenko relatou ter localizado um diretório aberto contendo as ferramentas dos invasores, scripts, strings de conexão, logs e dados de analytics, permitindo reconstruir boa parte da operação.

A análise desse material revelou uma campanha estruturada em três fases mecanicamente distintas:

  • Reconhecimento: varredura automatizada de cerca de 59,3 milhões de hosts na internet em busca de interfaces de gerenciamento Fortinet, portais de VPN SSL e instâncias de Microsoft SQL Server expostas, catalogando cerca de 437 mil dispositivos FortiGate ativos.
  • Credential stuffing: testes automatizados de listas de senhas específicas para dispositivos Fortinet, cruzadas com bases históricas de malware infostealer — não senhas aleatórias, mas credenciais já vazadas anteriormente e organizadas por contexto.
  • Quebra offline: interceptação de hashes de autenticação de VPN SSL, quebrados em um cluster dedicado de 45 GPUs gerenciado via Hashtopolis.

Segundo a SOCRadar, contas administrativas genéricas (35%) e contas de sistema padrão da Fortinet, como forticloud-sync e forticloud-tech (28,3%), respondem pela maioria das credenciais comprometidas — um indício claro de que muitas organizações nunca renomearam contas-padrão nem rotacionaram credenciais de fábrica.

O detalhe técnico que ampliou o problema

A Fortinet introduziu hashing de senhas baseado em PBKDF2 no FortiOS 7.2.11, 7.4.8 e 7.6.1, substituindo o mecanismo legado baseado em SHA-256. O problema é que essa migração só protege contas cujos administradores efetivamente fizeram login novamente após a atualização do firmware. Dispositivos atualizados, mas com contas que nunca reautenticaram, permaneceram no formato antigo — muito mais suscetível à quebra offline.

Entre as organizações que aparecem no conjunto de dados vazado, segundo a Hudson Rock e Diachenko, estão nomes como Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, Chevron, AT&T, Mercedes-Benz, Toyota, Sinopec e State Grid, além de diversas agências governamentais e operadores de infraestrutura crítica.

Uma operação de escala industrial

Talvez o dado mais revelador do FortiBleed não seja o número de dispositivos comprometidos, mas o volume de tentativas necessárias para chegar lá: cerca de 1,16 bilhão de tentativas de autenticação contra mais de 320 mil alvos FortiGate, somadas a 2,1 bilhões de tentativas de força bruta contra mais de 160 mil servidores Microsoft SQL Server — sinal de que esta é uma operação de obtenção de acesso inicial muito mais ampla do que um ataque específico contra a Fortinet.

Esse nível de automação — varredura de dezenas de milhões de hosts, testes de credenciais em escala bilionária e quebra de senhas em cluster dedicado de GPUs — não é mais exceção entre grupos de cibercrime. É a tendência.

"A escala é a sofisticação." — Bob Diachenko, em entrevista à Ars Technica

O que os relatórios do setor já estavam apontando

Relatórios recentes da indústria de cibersegurança descrevem exatamente esse cenário. O IBM X-Force Threat Intelligence Index 2026 identificou um aumento de 44% em ataques iniciados pela exploração de aplicações expostas à internet, atribuído em grande parte a controles de autenticação ausentes e ao uso de IA para descoberta de vulnerabilidades em escala. A Trend Micro, em suas previsões de segurança para 2026, descreve a automação do cibercrime como "o motor que impulsiona a escala, a velocidade e a sofisticação dos ataques modernos", prevendo que atacantes usarão IA para varrer, testar e adaptar exploits de forma praticamente instantânea. Já o NCSC do Reino Unido avalia que a IA deve, quase com certeza, aumentar tanto o volume quanto o impacto dos ataques — não por criar técnicas inéditas, mas por tornar as técnicas já conhecidas muito mais eficientes.

Ponto de atenção

O FortiBleed não explorou nenhuma vulnerabilidade de software nova. A combinação de reconhecimento automatizado massivo, listas de credenciais cruzadas com bases de infostealers e quebra de hash em escala industrial é um conjunto de capacidades que, há poucos anos, exigiria recursos de Estado-nação — e hoje está ao alcance de grupos de cibercrime organizados, com ou sem uso direto de IA generativa nas etapas técnicas.

Por que isso importa para além da Fortinet

Uma vez comprometido, o dispositivo Fortinet não é apenas um ponto de entrada — ele se torna um posto de escuta. Por estar posicionado no perímetro da rede, um firewall comprometido permite aos atacantes monitorar passivamente todo o tráfego que passa por ele, coletando novas credenciais continuamente e abrindo caminho para movimentação lateral em direção ao Active Directory e outros ativos internos.

O que as autoridades recomendam

No alerta AL26-014, o Cyber Centre canadense recomenda fortemente que as organizações:

  • Façam inventário de todas as contas em dispositivos Fortinet, identificando contas suspeitas ou não autorizadas e removendo as desnecessárias.
  • Restrinjam o acesso às interfaces de gerenciamento apenas a redes e hosts confiáveis.
  • Encerrem todas as sessões ativas de VPN SSL e administrativas.
  • Redefinam as senhas de todas as contas administrativas e de VPN Fortinet.
  • Apliquem autenticação multifator (MFA) em todos os gateways externos e interfaces administrativas.
  • Atualizem todos os dispositivos para o firmware mais recente, verificando especialmente patches para as CVE-2024-55591, CVE-2025-59718 e CVE-2025-59719.

A CISA, em seu próprio alerta, reforça orientações semelhantes e acrescenta um ponto técnico relevante: garantir o uso do algoritmo PBKDF2 para armazenamento de credenciais administrativas, removendo hashes legados mais fracos — o que, como visto acima, exige reautenticação dos administradores após a atualização de firmware.

A lição que fica

O FortiBleed não depende de uma falha sofisticada de software — depende de reutilização de senhas, falta de MFA, interfaces de gerenciamento expostas à internet e processos de atualização incompletos. É um lembrete de que a "sofisticação" de um ataque pode estar simplesmente na escala da automação, e não em alguma técnica inédita. E é exatamente esse tipo de operação — reconhecimento massivo, automação ponta a ponta, exploração do óbvio em escala bilionária — que a IA generativa torna progressivamente mais barata, mais rápida e mais acessível para grupos de cibercrime que antes não teriam esse nível de capacidade.

Organizações que utilizam dispositivos Fortinet — ou qualquer equipamento de borda de rede exposto à internet — devem tratar este alerta como prioridade imediata: trocar credenciais, habilitar MFA, restringir o acesso administrativo e confirmar que as atualizações de firmware foram realmente concluídas com reautenticação dos administradores.

Fontes Canadian Centre for Cyber Security (AL26-014) · CISA · Hudson Rock · DoublePulsar (Kevin Beaumont) · BleepingComputer · Security Affairs · SecurityWeek · The Hacker News · SOCRadar · IBM X-Force Threat Intelligence Index 2026 · Trend Micro Security Predictions 2026 · NCSC (UK)

On June 18, 2026, the Canadian Centre for Cyber Security issued alert AL26-014 regarding a campaign dubbed "FortiBleed," which resulted in the exposure of administrative and SSL VPN credentials for Fortinet (FortiGate) devices across 194 countries. The same day, CISA — the United States cybersecurity agency — published its own alert confirming active exploitation.

The numbers grew quickly as the investigation progressed: early estimates from SOCRadar put the figure at just over 30,000 devices; days later, Hudson Rock and researcher Kevin Beaumont raised the count to 75,000; by June 19, SecurityWeek and SOCRadar itself were reporting 86,644 verified working credentials — roughly half of all internet-facing Fortinet firewalls today.

86,644CREDENTIALS VERIFIED AS ACTIVE
194COUNTRIES AFFECTED
1.16 bnLOGIN ATTEMPTS AGAINST FORTIGATE
45 GPUsDEDICATED PASSWORD-CRACKING CLUSTER

How the leak was discovered

Unusually, FortiBleed didn't surface through a vendor disclosure or a criminal forum post — it was discovered by researchers who found the attackers' own operational server left open on the internet. Researcher Volodymyr "Bob" Diachenko reported finding an open directory containing the attackers' tooling, scripts, connection strings, logs, and analytics data, which allowed much of the operation to be reconstructed.

Analysis of that material revealed a campaign structured in three mechanically distinct phases:

  • Reconnaissance: automated scanning of roughly 59.3 million internet hosts looking for exposed Fortinet management interfaces, SSL VPN portals, and Microsoft SQL Server instances, fingerprinting approximately 437,000 active FortiGate devices.
  • Credential stuffing: automated testing of Fortinet-specific password lists, cross-referenced with historical infostealer malware dumps — not random guesses, but previously leaked credentials organized by context.
  • Offline cracking: interception of SSL VPN authentication hashes, cracked on a dedicated 45-GPU cluster managed via Hashtopolis.

According to SOCRadar, generic admin accounts (35%) and Fortinet's built-in system accounts, such as forticloud-sync and forticloud-tech (28.3%), account for the majority of compromised credentials — a clear sign that many organizations never renamed default accounts or rotated factory credentials.

The technical detail that widened the problem

Fortinet introduced PBKDF2-based password hashing in FortiOS 7.2.11, 7.4.8, and 7.6.1, replacing the legacy SHA-256-based storage mechanism. The catch is that this migration only protects accounts whose administrators actually logged in again after the firmware update. Devices that were patched but whose admin accounts never re-authenticated remained on the older format — far more susceptible to offline cracking.

Among the organizations appearing in the leaked dataset, according to Hudson Rock and Diachenko, are Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, Chevron, AT&T, Mercedes-Benz, Toyota, Sinopec, and State Grid, along with numerous government agencies and critical infrastructure operators.

An industrial-scale operation

Perhaps the most telling figure in FortiBleed isn't the number of compromised devices, but the volume of attempts required to get there: roughly 1.16 billion authentication attempts against more than 320,000 FortiGate targets, alongside 2.1 billion brute-force attempts against more than 160,000 Microsoft SQL Server systems — a sign that this is a far broader initial-access operation than a Fortinet-specific attack.

This level of automation — scanning tens of millions of hosts, testing credentials at billion-scale, and cracking passwords on a dedicated GPU cluster — is no longer the exception among cybercrime groups. It is the trend.

"The scale is the sophistication." — Bob Diachenko, in an interview with Ars Technica

What industry reports were already pointing to

Recent cybersecurity industry reports describe exactly this scenario. The IBM X-Force Threat Intelligence Index 2026 identified a 44% increase in attacks beginning with the exploitation of internet-facing applications, largely driven by missing authentication controls and AI-enabled vulnerability discovery at scale. Trend Micro, in its 2026 security predictions, describes the automation of cybercrime as "the engine driving the scale, speed, and sophistication of modern attacks," forecasting that attackers will use AI to scan, test, and adapt exploits almost instantly. The UK's NCSC assesses that AI will almost certainly increase both the volume and impact of attacks — not by creating new techniques, but by making already-known techniques far more efficient.

Worth noting

FortiBleed did not exploit any new software vulnerability. The combination of massive automated reconnaissance, credential lists cross-referenced with infostealer databases, and industrial-scale hash cracking is a set of capabilities that, a few years ago, would have required nation-state resources — and today is within reach of organized cybercrime groups, with or without direct use of generative AI in the technical steps.

Why this matters beyond Fortinet

Once compromised, a Fortinet device isn't just an entry point — it becomes a listening post. Sitting at the network perimeter, a compromised firewall lets attackers passively monitor all traffic passing through it, continuously harvesting fresh credentials and opening a path for lateral movement toward Active Directory and other internal assets.

What authorities recommend

In alert AL26-014, Canada's Cyber Centre strongly recommends that organizations:

  • Inventory all accounts on Fortinet devices, identifying suspicious or unauthorized accounts and removing unneeded ones.
  • Restrict access to management interfaces to trusted networks and hosts only.
  • Terminate all active SSL VPN and administrative sessions.
  • Reset passwords for all Fortinet VPN and administrative accounts.
  • Enforce multi-factor authentication (MFA) across all external gateways and admin interfaces.
  • Update all devices to the latest firmware, specifically checking for patches related to CVE-2024-55591, CVE-2025-59718, and CVE-2025-59719.

CISA, in its own alert, reinforces similar guidance and adds a relevant technical point: ensuring the use of the PBKDF2 algorithm for storing administrative credentials and removing weaker legacy hashes — which, as noted above, requires administrators to re-authenticate after the firmware update.

The takeaway

FortiBleed doesn't rely on a sophisticated software flaw — it relies on password reuse, missing MFA, internet-exposed management interfaces, and incomplete update processes. It's a reminder that the "sophistication" of an attack can simply lie in the scale of automation, not in some novel technique. And that is exactly the kind of operation — massive reconnaissance, end-to-end automation, exploitation of the obvious at billion-scale — that generative AI is progressively making cheaper, faster, and more accessible to cybercrime groups that previously wouldn't have had this level of capability.

Organizations using Fortinet devices — or any internet-facing network edge equipment — should treat this alert as an immediate priority: rotate credentials, enable MFA, restrict administrative access, and confirm that firmware updates were actually completed with administrator re-authentication.

Sources Canadian Centre for Cyber Security (AL26-014) · CISA · Hudson Rock · DoublePulsar (Kevin Beaumont) · BleepingComputer · Security Affairs · SecurityWeek · The Hacker News · SOCRadar · IBM X-Force Threat Intelligence Index 2026 · Trend Micro Security Predictions 2026 · NCSC (UK)