A Fortinet entrou recentemente no radar de uma ofensiva digital em larga escala. Segundo a GreyNoise, em apenas 24 horas, mais de 780 endereços IP distintos participaram de ataques de força bruta contra sistemas SSL VPN da empresa o maior volume diário registrado nos últimos meses.
Não se trata de simples varreduras automatizadas. Os alvos foram escolhidos com precisão, indicando que os operadores conhecem bem a infraestrutura da Fortinet. Essa abordagem focada, somada ao volume incomum de tráfego malicioso, acendeu o alerta vermelho entre especialistas.
O sistema de detecção da GreyNoise para ataques contra Fortinet SSL VPN identificou um salto expressivo em relação à média normal. Historicamente, 80% dos casos com picos semelhantes antecederam, em até seis semanas, a divulgação de novas vulnerabilidades envolvendo o mesmo fornecedor.
Isso certamente levanta a suspeita de que a atual campanha possa explorar uma falha ainda não divulgada. Os ataques têm como foco perfis FortiOS, e a análise geográfica dos últimos 90 dias aponta Hong Kong e Brasil como os países mais visados. Essa concentração pode refletir tanto a presença de infraestrutura crítica nessas regiões quanto o interesse estratégico dos invasores.
Volume de ataques pode sinalizar uma possível vulnerabilidade
A operação parece ter ocorrido em duas fases distintas. Na primeira, houve atividade de força bruta constante, com uma assinatura TCP específica e estável. Mas, a partir de 5 de agosto, surgiu uma segunda onda, muito mais concentrada, com uma nova assinatura TCP sinal de mudança tática.
Outro ponto crítico foi a mudança de alvo. Os atacantes começaram mirando sistemas FortiOS, mas rapidamente redirecionaram seus esforços para perfis FortiManager FGFM, mantendo a mesma infraestrutura base. Essa transição pode indicar que se trata do mesmo grupo diversificando ataques ou de diferentes operadores usando ferramentas e recursos em comum.
A investigação também revelou que parte dos IPs parecia ter origem em redes residenciais. Um endereço chegou a apontar para um dispositivo FortiGate dentro de um bloco de ISP doméstico. Isso pode ser teste a partir de ambientes caseiros ou o uso de proxies residenciais para esconder a verdadeira origem.
O que preocupa é a sofisticação técnica e a persistência. A capacidade de mudar rapidamente entre serviços diferentes da Fortinet, sem perder o ritmo dos acessos, mostra que não estamos diante de amadores.
A recomendação dos pesquisadores é implementar bloqueio dinâmico de IPs com base nas listas de endereços maliciosos já catalogados e monitorar as assinaturas de tráfego associadas a essa campanha. Além disso, as empresas que usam soluções Fortinet devem se preparar para a possibilidade de que, nas próximas semanas, surjam vulnerabilidades críticas ligadas a esses ataques.
