Vulnerabilidades da Fortinet exploradas em ataques globais pelo ransomware Qilin

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...

Grupo Qilin automatiza exploração de falhas em firewalls FortiGate para ataques globais

A operação de ransomware Qilin está explorando ativamente vulnerabilidades críticas da Fortinet para comprometer dispositivos e lançar ataques altamente disruptivos. As falhas estão sendo usadas para executar código remotamente e ignorar autenticação em firewalls FortiGate, com impactos já sentidos em serviços essenciais, como hospitais e redes governamentais.

Grupo Qilin explora falhas críticas da Fortinet em ataques globais de ransomware

Imagem com a logomarca do Fortinet

Nova onda de ataques direcionados a falhas da Fortinet

A campanha recente da operação Qilin — também conhecida como Phantom Mantis — é marcada por um alto grau de automação e precisão. Segundo alerta divulgado pela empresa de inteligência de ameaças PRODAFT em caráter privado ao BleepingComputer, os operadores estão explorando múltiplas falhas, incluindo CVE-2024-21762 e CVE-2024-55591, para obter acesso inicial em redes corporativas.

Essas vulnerabilidades permitem a execução remota de código (RCE) e a evasão de autenticação em dispositivos Fortinet desatualizados, comprometendo diretamente o perímetro de segurança de muitas organizações.

“Avaliações indicam que o grupo visa principalmente países de língua espanhola, mas adota uma postura oportunista, explorando alvos globalmente”, afirma o relatório da PRODAFT.

Histórico da operação Qilin e suas vítimas

O grupo Qilin surgiu em agosto de 2022, inicialmente sob o nome Agenda, operando como um serviço de ransomware (Ransomware-as-a-Service – RaaS). Desde então, já reivindicou mais de 310 vítimas em seu portal na dark web. Entre os alvos estão empresas de grande porte como:

  • Yanfeng (setor automotivo)
  • Lee Enterprises (mídia e publicação)
  • Court Services Victoria (Austrália)
  • Synnovis (patologia médica)

Este último ataque causou graves interrupções em hospitais do NHS em Londres, com cancelamentos de cirurgias e consultas, evidenciando o alto impacto dos ataques do grupo.

CVEs exploradas: da exploração zero-day à negligência de mitigação

A falha CVE-2024-55591 foi identificada inicialmente como um zero-day em novembro de 2024 e chegou a ser usada por outros grupos, como o Mora_001, para implantar o ransomware SuperBlack, associado à gangue LockBit.

Já a CVE-2024-21762 foi corrigida em fevereiro de 2025 e incluída no catálogo de falhas exploradas da CISA, com prazo até 16 de fevereiro para mitigação em redes federais dos EUA. No entanto, a Shadowserver Foundation revelou posteriormente que cerca de 150 mil dispositivos ainda permanecem vulneráveis, mesmo após a divulgação pública e correções.

Fortinet no centro das campanhas de espionagem e ransomware

Esta não é a primeira vez que produtos Fortinet figuram como vetor primário em grandes campanhas. Em fevereiro, a própria Fortinet divulgou que o grupo chinês Volt Typhoon explorou falhas em FortiOS SSL VPN (CVE-2022-42475 e CVE-2023-27997) para implantar o trojan Coathanger, usado inclusive para manter acesso oculto em redes militares europeias.

O histórico recorrente de exploração de vulnerabilidades da Fortinet levanta preocupações sobre a velocidade de mitigação por parte das organizações e sobre os mecanismos de atualização automática desses dispositivos críticos.

O que esperar nos próximos meses

Especialistas apontam que, embora a campanha atual tenha foco inicial em países de língua espanhola, a tendência é de rápida expansão global, especialmente por se tratar de uma operação parcialmente automatizada. Empresas e instituições que ainda não aplicaram os patches divulgados correm risco elevado de se tornarem alvos.

Com a complexidade crescente dos ataques e a sofisticação de grupos como o Qilin, a segurança de firewalls e gateways VPN deve ser tratada como prioridade absoluta. A aplicação de correções de segurança, a revisão de acessos remotos e o monitoramento contínuo de tráfego malicioso são medidas urgentes para reduzir o risco de comprometimento.

Compartilhe este artigo