Há uma base de dados a circular com as palavras-passe de cerca de 74 mil firewalls Fortinet (a barreira que filtra tudo o que entra e sai de uma rede), espalhadas por 194 países e 21 632 domínios. Não são tentativas: são 86 644 pares de utilizador e palavra-passe testados e confirmados como funcionais, o que, segundo as estimativas citadas pela imprensa especializada, corresponde a cerca de metade de todos os FortiGate expostos à internet. A 18 de junho, a CISA, a agência de cibersegurança do governo norte-americano, emitiu um alerta a pedir a quem tem estes equipamentos que mude já todas as palavras-passe. Ao caso deram o nome de FortiBleed.
O detalhe que interessa não é o número, por mais redondo que soe. É que ninguém arrombou nada. A firewall existe precisamente para guardar a porta da rede, e foi ela que andou a entregar as chaves. E não foi por causa de uma falha nova e brilhante: foi por causa de uma palavra-passe guardada de forma fraca, dentro de um equipamento que toda a gente dava por seguro porque estava «atualizado».
O servidor exposto dos atacantes foi identificado pelo investigador Volodymyr «Bob» Diachenko e analisado por empresas como a SOCRadar e a Hudson Rock. Os dados estavam organizados por país, setor e até dimensão da empresa, prontos a vender, e há já pelo menos quatro organizações dadas como totalmente comprometidas. Na lista aparecem nomes como a Samsung, a Mercedes-Benz, a Toyota e a AT&T, a par de organismos públicos nas telecomunicações, na saúde e nas finanças. Por trás da operação está um grupo de língua russa, com vários operadores, a quem se atribuem cerca de 1,16 mil milhões de tentativas de acesso contra mais de 320 mil equipamentos Fortinet, e outros 2,1 mil milhões contra servidores de base de dados Microsoft SQL. As palavras-passe cifradas que iam capturando eram quebradas num aglomerado de 45 placas gráficas gerido com o Hashtopolis, uma ferramenta que reparte esse trabalho por muitas máquinas em paralelo.
Como a firewall se virou contra a rede
O mecanismo é o que torna isto incómodo. Os atacantes intercetaram as marcas cifradas que provam a identidade de quem entra pela VPN (o túnel cifrado por onde se acede à rede a partir de fora). Durante anos, a Fortinet guardou as palavras-passe dos administradores em SHA-256, uma forma rápida de cifrar que, a partir de um ficheiro de configuração roubado, se deixa quebrar por força bruta em pouco tempo, ou seja, experimentando milhões de combinações até acertar. A empresa passou entretanto para o PBKDF2, um método propositadamente lento e muito mais resistente, nas versões 7.2.11, 7.4.8 e 7.6.1 do FortiOS. O senão está na migração: ao atualizar a partir de uma versão anterior, a palavra-passe antiga continua gravada no formato fraco até o administrador voltar a entrar com ela. Resultado, milhares de equipamentos «atualizados» ficaram com o cofre velho lá dentro, intacto. Existe até uma opção para apagar esses resíduos, a login-lockout-upon-weaker-encryption, que a maioria nunca ligou.
O vetor de entrada exato ainda não está confirmado, mas falhas conhecidas e por corrigir no próprio SSL VPN do FortiGate, como a CVE-2024-21762 (uma falha grave divulgada em fevereiro de 2024 que permite executar código sem sequer ter credenciais), são o tipo de porta que dá acesso a estes dados. Uma vez lá dentro, a firewall comprometida passa a posto de escuta: fica a observar o tráfego da VPN que passa por ela, recolhe as credenciais de quem vai entrando e devolve-as ao motor de ataque para comprometer ainda mais equipamentos. A partir daí, salta-se para a rede Windows da organização, com o objetivo de chegar ao controlador de domínio, o servidor que guarda todas as contas e palavras-passe, e extrair de lá a base de dados completa dessas credenciais. É uma máquina que se alimenta a si própria.
Porque é que isto devia tirar o sono
Em qualquer investigação séria, a primeira pergunta é se a cadeia de custódia se manteve, isto é, se aquilo que devia guardar a prova não foi, ele próprio, adulterado. Aqui falhou exatamente isso. O equipamento em que mais confiamos para vigiar a entrada foi o que andou a copiar todas as chaves que por ali passaram. E a falsa sensação de segurança fez o resto: carregar em «atualizar» não rodou as palavras-passe nem as voltou a cifrar, não fez nada de visível. Ficou tudo na mesma por baixo, com o selo de «feito» por cima.
E isto não é um problema lá longe. O FortiGate é dos equipamentos mais comuns nas redes portuguesas, da administração pública à banca e à saúde, e o Centro Nacional de Cibersegurança emite com regularidade alertas sobre falhas nestes mesmos aparelhos. Uma autarquia, um hospital ou uma empresa com a firewall exposta à internet e nunca reconfigurada depois da última atualização está, neste momento, exatamente na lista de alvos que estes números descrevem.
O que fazer, e já
Se gere um destes equipamentos, a ordem de trabalhos é clara:
- Mudar todas as palavras-passe de administração e de VPN, com prioridade absoluta para as que estão acessíveis pela internet.
- Terminar todas as sessões de VPN e de administração ainda abertas, para expulsar quem já lá esteja.
- Forçar um novo início de sessão depois de atualizar, para a palavra-passe ser regravada em PBKDF2; nas versões 7.2 e 7.4 do FortiOS, ligar a opção
login-lockout-upon-weaker-encryption, que apaga os resíduos em SHA-256. - Exigir autenticação em dois passos resistente a phishing em todas as contas de administração.
- Tirar a interface de gestão da firewall de cima da internet pública e deixá-la acessível só de dentro.
- Rever os registos à procura de acessos estranhos e de contas que não reconheça; perante qualquer acesso suspeito, assumir que o equipamento está comprometido e tratá-lo como tal.
A lição do FortiBleed não está na falha que ninguém viu. Está na confiança que ninguém questionou. Uma firewall não é o castelo; é o porteiro. E um porteiro com o molho de chaves todas, a quem ninguém troca a fechadura há anos, é a pior coisa que podes ter à entrada da tua rede.
Fontes: CISA, SOCRadar, BleepingComputer, SecurityWeek.
#StaySafe
🙏🖖
