Um novo alerta de segurança revela que mais de 16 mil firewalls Fortinet FortiGate com acesso público à internet foram comprometidos por um backdoor persistente que permite a leitura de arquivos sensíveis, mesmo após a aplicação de atualizações de segurança. A falha está ligada à criação de links simbólicos no sistema de arquivos, proporcionando acesso não autorizado a configurações e outros dados confidenciais.
Mais de 16 mil firewalls Fortinet são afetados por backdoor que permanece mesmo após correções
A descoberta foi feita pela The Shadowserver Foundation, que inicialmente havia identificado 14 mil dispositivos comprometidos. No entanto, a nova contagem já ultrapassa os 16.620, segundo informou Piotr Kijewski, um dos especialistas da fundação, ao site BleepingComputer.
Como o backdoor atua
Segundo a Fortinet, o backdoor não explora uma falha nova, mas sim uma sequência de ataques iniciados entre 2023 e 2024, onde agentes mal-intencionados exploraram vulnerabilidades zero-day no sistema FortiOS.
Uma vez com acesso aos dispositivos, os invasores criaram links simbólicos na pasta de arquivos de idioma — um diretório normalmente acessível em equipamentos com SSL-VPN habilitado. Essa estrutura permitiu que o sistema de arquivos raiz fosse exposto a acessos de leitura, mesmo após os dispositivos terem sido corrigidos.
“Mesmo com a aplicação das correções no FortiOS, o link simbólico pode ter permanecido, oferecendo ao invasor um caminho de leitura para arquivos críticos do sistema”, explicou a Fortinet.
Fortinet responde com correções e alertas
A empresa está notificando clientes afetados por meio de e-mails diretos e lançou atualizações no FortiGuard com assinaturas antivírus/IPS para identificar e eliminar o link simbólico malicioso.
Além disso, o firmware mais recente bloqueia a exibição de arquivos desconhecidos via o servidor web interno do FortiGate, reforçando a proteção contra acessos indesejados.
Recomendações para administradores
Se o seu dispositivo Fortinet foi identificado como comprometido, há uma alta probabilidade de que as configurações e credenciais tenham sido acessadas por terceiros. Por isso, é fundamental:
- Redefinir todas as credenciais imediatamente;
- Verificar e restaurar configurações seguras;
- Atualizar o firmware para a versão mais recente;
- Consultar o guia oficial de resposta da Fortinet para procedimentos completos.
Este caso reforça a importância de auditorias regulares em dispositivos expostos à Internet e da aplicação imediata de correções de segurança, mesmo após a resolução inicial de vulnerabilidades.