Ataques exploram Fortinet SSL VPN

Ataques coordenados exploram Fortinet SSL VPN: o que mudou, por que importa e como reagir

Pesquisadores de inteligência de ameaças identificaram, em 3 de agosto de 2025, um salto repentino e anormal no volume de tentativas de força-bruta contra Fortinet SSL VPN, com mais de 780 endereços IP distintos participando da ofensiva em um único dia. Longe de ser “ruído” de internet, o padrão observado indica coordenação, foco e intenção clara de acesso inicial a redes corporativas por meio de credenciais fracas ou reaproveitadas — um vetor historicamente eficiente para movimentação lateral e implantação de payloads em escala.

 

Anatomia da campanha: duas ondas, duas assinaturas e mudança de alvo

A telemetria mostra duas fases bem delimitadas. A primeira, iniciada em 3 de agosto, manteve uma assinatura TCP persistente e mirou endpoints Fortinet SSL VPN (perfil FortiOS). A segunda, a partir de 5 de agosto, surgiu como pico concentrado, com assinatura TCP e fingerprint de cliente diferentes — e, crucialmente, passou a sondar o serviço FGFM do FortiManager, sem abandonar os marcadores típicos de força-bruta a SSL VPN. Essa pivotagem amplia o raio de impacto: comprometer o FortiManager pode permitir empurrar políticas maliciosas para diversos appliances simultaneamente, transformando um único sucesso de brute-force numa violação sistêmica.

 

Infraestrutura e origem do tráfego: disfarce residencial e pistas de reuso de ferramentas

Parte do tráfego correlacionado foi associado a endereços residenciais (ex.: blocos de ISP nos EUA), o que aponta para uso de proxies residenciais, roteadores comprometidos ou até testes em ambientes domésticos para ofuscar a origem real e burlar listas de reputação. Técnicas de fingerprinting (como JA4+) ajudaram a ligar picos de agosto a atividades anteriores, sugerindo reuso de toolchains e infraestrutura entre ondas. Para defesa, esse detalhe é vital: bloquear apenas IPs “datacenter” não basta quando o adversário se mistura com tráfego residencial legítimo.

 

Sinais precoces de crise: por que picos de força-bruta antecedem CVEs

Dados históricos apresentados pelos pesquisadores indicam que surtos desse tipo frequentemente precedem a divulgação de novas vulnerabilidades do mesmo fabricante — com correlação de poucas semanas. Ainda que não confirmem um zero-day, tais picos funcionam como alerta operacional: equipes devem acelerar validações de postura, revisão de exposição e endurecimento de controles antes que uma exploração mais sofisticada apareça no horizonte.

 

Impacto potencial: do acesso inicial ao efeito dominó no gerenciamento central

Com VPNs, um simples par “usuário/senha” válido pode abrir portas para AD, sistemas críticos e dados sensíveis; quando o alvo inclui FortiManager, o risco escala — políticas de firewall podem ser alteradas, atualizações maliciosas empurradas e regras de IPS/IDS manipuladas para encobrir rastros. Esse encadeamento transforma credenciais fracas em incidente de alto impacto, especialmente em redes com autenticação fraca, segmentação insuficiente e ausência de verificação contínua de integridade.

 

Detecção e resposta: telemetria que importa e armadilhas a evitar

Para reduzir o tempo de detecção, priorize correlações entre: (1) picos de falhas de login em portas/URLs de VPN; (2) fingerprints de cliente/timers de handshake atípicos; (3) tentativas sequenciais de credenciais provenientes de IPs distintos num curto intervalo; e (4) conexões subsequentes com elevação de privilégios ou acessos ao FortiManager. Evite a armadilha de tratar ataques bloqueados como “inócuos”: mesmo sem sucesso, eles sinalizam campanhas em evolução e ajudam a construir listas de bloqueio e regras comportamentais mais precisas.

 

Higiene de credenciais e superfície de ataque: endurecer agora

Medidas práticas imediatas incluem exigir MFA resistente a phishing em todos os acessos remotos; bloquear origens fora da geografia de negócio (geo-fencing) e aplicar listas de IPs maliciosos compartilhadas pela comunidade; limitar tentativas e impor back-off exponencial; desabilitar contas inativas; integrar VPN/SSO ao provedor corporativo com políticas de senha robustas e verificação de “impossible travel”. Reduza a superfície: exponha apenas o estritamente necessário, proteja FortiManager por bastion/VPN interna, e imponha ACLs e certificados mutuais no FGFM.

 

Hardening e resiliência: prepare-se para o pior, opere para o melhor

Implemente segmentação de rede com políticas “default-deny”; registre tudo (VPN, AAA, administração de appliances) em um SIEM com detecções específicas para comportamento de brute-force e variações de fingerprint; automatize resposta (bloqueio de IP, desafio adicional de autenticação, quarentena de sessão) quando gatilhos definidos dispararem; e mantenha runbooks para cenários de “compromisso de credenciais” e “compromisso de gerenciador”. Paralelamente, valide backups “offline” de configurações de firewall/VPN e ensaie recuperação limpa para mitigar sabotagem de política.

 

O que monitorar nas próximas semanas

Dado o histórico de correlação entre picos de força-bruta e divulgações futuras, monitore advisories do fornecedor, mailing lists de segurança, CVEs relacionadas a Fortinet e sinais de exploração ativa. Mesmo que não surja um zero-day, campanhas como esta tendem a “mudar de fase” — da coleta de credenciais para abuso de interfaces de gerenciamento — à medida que os operadores refinam suas táticas. Estar um ciclo à frente significa reduzir drasticamente a janela de oportunidade do adversário.

 

Conclusão

A campanha de agosto contra Fortinet SSL VPN é mais que uma estatística elevada de tentativas de login: ela evidencia uma operação adaptativa, capaz de transitar de endpoints de VPN para o coração do gerenciamento (FortiManager) em dias. Para defender ambientes híbridos, é indispensável combinar higiene rigorosa de credenciais, MFA antifraude, redução de superfície, telemetria rica (incluindo fingerprints) e automações de resposta. Tratar picos de força-bruta como indicadores precursores — e não “falso alarme” — pode ser a diferença entre conter uma sondagem e enfrentar um incidente de alto impacto.

 

Referências Bibliográficas: