A atenção para a segurança cibernética acaba de ganhar um novo capítulo preocupante. Pesquisadores de segurança revelaram um vazamento massivo envolvendo firewalls da Fortinet, concedendo a invasores de língua russa acesso quase irrestrito a algumas das maiores e mais poderosas organizações globais. A lista de vítimas inclui nomes de peso como Oracle, Chevron, Lenovo, Federal Express, um contratante de defesa da OTAN e até mesmo a própria Fortinet.
Cerca de 74.000 dispositivos Fortinet, distribuídos por mais de 21.000 endereços IP em 194 países, foram comprometidos. O pior: suas credenciais em texto puro foram expostas online. Quem detalhou a descoberta foi Bob Diachenko, pesquisador de segurança e chefe da SecurityDiscovery.com, tanto em uma publicação online quanto em entrevista. Ele explicou que encontrou os dados após conseguir acesso ao servidor de comando e controle dos atacantes e outras infraestruturas. Os dados expostos iam além das credenciais, incluindo informações como setor de atuação, receita e número de funcionários de cada organização afetada.
Escala excepcional, segurança operacional fraca
A dimensão do incidente é, para dizer o mínimo, impressionante. O pesquisador independente Kevin Beaumont reportou que, até a manhã de quarta-feira, "quase todos" os dispositivos comprometidos ainda permaneciam online. Beaumont também confirmou, junto a múltiplas organizações listadas nos registros dos atacantes, que as credenciais vazadas eram de fato reais e estavam ativas.
Em muitos desses casos, após comprometerem os dispositivos Fortinet, os cibercriminosos avançaram e conseguiram acesso aos sistemas de autenticação centralizados das organizações. Exemplos disso são servidores Radius e o Microsoft Active Directory. A quantidade de dispositivos afetados representa aproximadamente metade de todos os firewalls Fortinet expostos à internet, segundo levantamentos da plataforma Shodan. Isso sugere uma falha de proporções gigantescas na gestão de segurança desses sistemas cruciais para a proteção de redes.