Um novo grupo de hackers, autodenominado “Belsen Group”, vazou gratuitamente na dark web arquivos de configuração, credenciais de VPN e endereços IP de mais de 15.000 dispositivos FortiGate. O incidente, ocorrido em janeiro de 2025, representa um grande risco para redes governamentais e privadas ao redor do mundo.
Hackers expõem 15.000 dispositivos FortiGate
A divulgação dos dados, organizada para promover o grupo, incluiu a criação de um site Tor, onde um arquivo de 1,6 GB foi disponibilizado. Este arquivo contém pastas organizadas por países, cada uma com subpastas para diferentes endereços IP. Entre os arquivos, estão configurações detalhadas de dispositivos e senhas, algumas em texto simples, além de chaves privadas e regras de firewall.
Exploração de vulnerabilidade antiga
O especialista em segurança Kevin Beaumont relacionou o vazamento a uma exploração da vulnerabilidade CVE-2022-40684, uma falha zero-day no firmware FortiOS. Segundo Beaumont, os dados parecem ter sido reunidos em outubro de 2022, quando a falha estava sendo explorada antes de uma correção ser implementada.
“Os arquivos contêm informações críticas sobre as defesas de rede, incluindo credenciais e configurações sensíveis. Caso essas informações não tenham sido atualizadas desde a coleta, é essencial que sejam alteradas imediatamente para minimizar os riscos,” afirmou Beaumont em seu blog.
Notícias Relacionadas
Segurança digital
Vulnerabilidade UEFI permite ataque com bootkits maliciosos
Nova vulnerabilidade UEFI permite que invasores ignorem o Secure Boot e implantem bootkits maliciosos. Microsoft e fabricantes já aplicaram correções, mas o risco destaca a fragilidade do sistema.
Segurança cibernética
Pesquisadores revelam falhas críticas no Rsync
Pesquisadores do Google Cloud descobriram seis falhas críticas no Rsync, ferramenta de sincronização para sistemas Unix, incluindo uma que permite execução de código arbitrário. Atualize para a versão 3.4.0 para proteção.
Contexto e implicações
Em 2022, a Fortinet havia alertado sobre a exploração da CVE-2022-40684, usada para adicionar contas de superadministradores maliciosos em dispositivos FortiGate. Apesar de o firmware FortiOS 7.2.2 ter corrigido a falha, dispositivos ainda vulneráveis estão agora expostos a uma ampla gama de ameaças cibernéticas.
Além disso, o vazamento relembra outro grande incidente ocorrido em 2021, quando 500.000 credenciais de VPN da Fortinet foram divulgadas devido à exploração de outra vulnerabilidade, a CVE-2018-13379.
Ações recomendadas
Especialistas recomendam que administradores revisem suas configurações, alterem senhas imediatamente e atualizem os dispositivos para versões mais recentes do FortiOS. Beaumont planeja divulgar uma lista de endereços IP comprometidos, o que pode ajudar empresas a identificar e mitigar o impacto do vazamento.
Por enquanto, a Fortinet ainda não se pronunciou oficialmente sobre o incidente. Caso a situação evolua, atualizações serão feitas para detalhar novos desdobramentos.
