As redes privadas virtuais (VPNs) da Fortinet estão sob um ataque de força bruta em larga escala. Uma nova vaga de atividade maliciosa, detetada no início de agosto, mudou o seu alvo dos SSL VPN para o FortiManager, um padrão que, historicamente, antecede a revelação de novas vulnerabilidades críticas.
O alerta foi emitido pela plataforma de monitorização de ameaças GreyNoise, que adverte os administradores de sistemas para não ignorarem estes picos de atividade, tratando-os como um potencial aviso de uma falha de segurança ainda desconhecida (zero-day).
As duas vagas de ataque
A campanha maliciosa manifestou-se em duas vagas distintas. A primeira, registada a 3 de agosto de 2025, focou-se em tentativas de força bruta contra os SSL VPN da Fortinet, dando continuidade a uma atividade que já vinha a ser monitorizada.
Apenas dois dias depois, a 5 de agosto, os atacantes mudaram de estratégia. Uma nova campanha, com origem na mesma fonte, passou a visar o serviço FGFM do FortiManager. Segundo a GreyNoise, esta mudança sugere que os mesmos atacantes, ou pelo menos as mesmas ferramentas, passaram de tentar forçar o acesso às VPNs para tentar obter controlo sobre a plataforma de gestão centralizada da Fortinet.
Um padrão que levanta preocupações
A principal preocupação reside no histórico deste tipo de comportamento. A investigação da GreyNoise revela uma correlação alarmante: em 80% dos casos, picos de scanning deliberado e ataques de força bruta como estes precedem a divulgação pública de novas vulnerabilidades de segurança no mesmo fornecedor.
Estas varreduras servem frequentemente para os atacantes enumerarem os sistemas expostos, avaliarem o seu potencial e prepararem ataques em larga escala, que são depois lançados assim que a falha é conhecida. A GreyNoise sublinha que a atividade maliciosa está em constante evolução e parece estar associada a um grupo específico que realiza testes adaptativos, descartando a hipótese de se tratar de simples investigações de segurança.
O que devem fazer os administradores?
Face a este cenário, a recomendação é clara: os administradores de sistemas não devem encarar estas tentativas de login falhadas como ataques a falhas antigas e já corrigidas. Pelo contrário, devem tratá-las como um potencial prenúncio da divulgação de uma nova vulnerabilidade.
As medidas de proteção a serem tomadas incluem o bloqueio dos endereços IP associados a esta campanha (listados no relatório da GreyNoise), o reforço da proteção de acesso nos dispositivos Fortinet e o endurecimento das regras de acesso externo, restringindo-o apenas a redes e IPs de confiança.
Nenhum comentário
Seja o primeiro!