A confiança em dispositivos de borda é um dos pilares da segurança moderna. Firewalls corporativos, como os da linha FortiGate, são projetados para proteger redes empresariais contra ameaças externas, funcionando como a primeira barreira contra ataques cibernéticos. No entanto, um novo relatório da SentinelOne revela que justamente esses dispositivos estão sendo explorados por invasores como ponto inicial de intrusão em redes corporativas.
De acordo com a análise, uma nova campanha de ataques está explorando vulnerabilidade FortiGate e configurações incorretas para comprometer infraestruturas empresariais. O objetivo dos criminosos é claro: obter credenciais de contas de serviço integradas ao Active Directory e LDAP, permitindo acesso persistente e escalada de privilégios dentro das redes.
A descoberta acende um alerta importante para administradores de rede e profissionais de segurança. Uma vez comprometido, o firewall pode se tornar um trampolim para ataques internos mais complexos, incluindo roubo de dados críticos e controle remoto da infraestrutura corporativa.
Como os ataques aos dispositivos FortiGate acontecem
Segundo o relatório da SentinelOne, os invasores exploram uma combinação de vulnerabilidade FortiGate, falhas de configuração e práticas inadequadas de segurança para obter acesso inicial aos dispositivos.
Entre as falhas exploradas estão as vulnerabilidades CVE-2025-59718, CVE-2025-59719 e CVE-2026-24858, que permitem diferentes tipos de abuso do sistema, incluindo acesso não autorizado e execução de ações administrativas.
Essas falhas de segurança no FortiGate podem permitir que atacantes contornem mecanismos de autenticação ou acessem informações sensíveis armazenadas nos dispositivos. Em alguns cenários observados, os criminosos conseguiram extrair arquivos de configuração completos do firewall.
Esses arquivos são especialmente valiosos porque frequentemente contêm dados sensíveis, incluindo credenciais armazenadas ou chaves criptográficas usadas na autenticação com serviços corporativos.
O perigo das credenciais fracas e configurações incorretas
Mesmo quando as vulnerabilidades são corrigidas, muitos ambientes continuam expostos devido a credenciais fracas ou configurações inadequadas.
Em diversos incidentes analisados, os invasores aproveitaram contas administrativas com senhas previsíveis ou reutilizadas. Além disso, interfaces de gerenciamento do FortiGate estavam acessíveis pela internet sem camadas adicionais de proteção, como autenticação multifator ou restrições de IP.
Essa combinação cria um cenário ideal para ataques automatizados. Ferramentas de varredura podem identificar rapidamente dispositivos vulneráveis e iniciar tentativas de acesso até encontrar credenciais válidas.
O problema é agravado quando o firewall possui integração direta com diretórios corporativos, algo comum em ambientes empresariais.
Criação de contas de administrador falsas (o caso do usuário ‘support’)
Outro comportamento observado pelos pesquisadores foi a criação de contas administrativas maliciosas após o comprometimento inicial.
Em alguns ambientes atacados, os invasores criaram um usuário chamado “support”, configurado com privilégios elevados. Esse tipo de conta permite que o acesso ao dispositivo continue mesmo após mudanças de senha em contas legítimas.
A presença de usuários administrativos desconhecidos é um dos principais indicadores de comprometimento em dispositivos Fortinet.
Como essas contas podem ser criadas diretamente na configuração do firewall, muitas vezes passam despercebidas por longos períodos.
Do firewall ao Active Directory: O caminho da invasão
Após comprometer o dispositivo, os invasores passam para a segunda fase do ataque: o movimento lateral dentro da rede.
Esse estágio explora a integração comum entre FortiGate, LDAP e Active Directory. Em muitas organizações, o firewall utiliza contas de serviço para autenticar usuários corporativos ou aplicar políticas de acesso.
Quando o dispositivo é comprometido, os atacantes conseguem extrair arquivos de configuração do sistema, que frequentemente contêm credenciais associadas a essas integrações.
Em alguns casos, as senhas podem estar criptografadas, mas ferramentas específicas permitem realizar a descriptografia das credenciais armazenadas.
Uma vez em posse dessas informações, os invasores podem autenticar diretamente nos servidores de diretório da empresa, ganhando acesso ampliado ao ambiente corporativo.
Esse passo é crítico porque permite escalar privilégios, acessar recursos internos e preparar novas etapas do ataque.
Ferramentas de acesso remoto e exfiltração de dados
Após obter acesso ao ambiente interno, os criminosos costumam implantar ferramentas legítimas de administração remota para manter controle sobre os sistemas comprometidos.
Entre os softwares identificados na campanha estão Pulseway e MeshAgent, utilizados normalmente por equipes de TI para gerenciamento remoto.
Essas ferramentas são especialmente perigosas em cenários de ataque porque se misturam ao tráfego legítimo da rede, dificultando a detecção por sistemas de segurança.
Com o acesso consolidado, os invasores passam a coletar informações sensíveis da infraestrutura corporativa.
Um dos alvos mais valiosos é o arquivo NTDS.dit, que contém o banco de dados completo do Active Directory, incluindo hashes de senha de usuários e administradores.
Se esse arquivo for exfiltrado, os atacantes podem realizar ataques offline para quebrar credenciais e obter acesso privilegiado a diversos sistemas da organização.
Esse tipo de comprometimento pode resultar em controle total do domínio corporativo.
Conclusão e medidas de mitigação
O relatório da SentinelOne mostra como uma vulnerabilidade FortiGate pode transformar um dispositivo de segurança em um vetor de ataque altamente eficaz.
Firewalls comprometidos oferecem aos invasores uma posição privilegiada dentro da rede, permitindo acesso a configurações críticas, credenciais corporativas e sistemas internos.
Para reduzir os riscos associados a ataques Fortinet, especialistas recomendam algumas medidas imediatas:
- Atualizar o firmware dos dispositivos FortiGate para versões corrigidas.
- Revisar contas administrativas e remover usuários desconhecidos.
- Restringir o acesso às interfaces de gerenciamento.
- Habilitar autenticação multifator para administradores.
- Monitorar logs de acesso e alterações de configuração.
- Auditar integrações com LDAP e Active Directory.
Além disso, é fundamental implementar monitoramento contínuo de segurança para detectar comportamentos anormais dentro da rede.
A recomendação é clara: verifique os logs de acesso agora mesmo e atualize imediatamente seus dispositivos Fortinet. Em cenários de ataque ativo, cada minuto conta para evitar comprometimentos mais graves da infraestrutura.
