Nos últimos meses, a segurança da Fortinet voltou ao centro das atenções. O aumento expressivo de ataques de força bruta contra VPNs SSL da empresa, observado pela GreyNoise em agosto, levanta sinais de alerta para administradores de rede e times de defesa cibernética. Mais de 780 IPs únicos foram identificados em apenas um dia — o maior volume recente desse tipo de atividade.
Segundo a GreyNoise, “spikes de atividade contra VPNs costumam anteceder vulnerabilidades divulgadas, em média, dentro de seis semanas”. Portanto, entender esses movimentos é essencial para antecipar riscos e reforçar controles.
O pico de ataques e o papel do Brasil
O dia 3 de agosto marcou um salto inédito no tráfego hostil contra Fortinet SSL VPN. Essa atividade não foi aleatória: o tráfego tinha como alvo o perfil FortiOS, o que demonstra foco e precisão, não tentativas oportunistas.
Nos 90 dias anteriores, os países mais visados foram Hong Kong e Brasil, mostrando que a infraestrutura crítica brasileira também está no radar de atacantes globais. Essa informação deve servir de alerta especial para empresas nacionais que ainda utilizam VPNs expostas sem medidas adicionais de proteção, como MFA, regras rígidas de ACLs e monitoramento contínuo de logs.
Duas ondas distintas de bruteforce
A análise detalhada revelou duas fases diferentes de ataque:
Onda 1: tráfego persistente com um mesmo padrão TCP, estável ao longo do tempo.
Onda 2: iniciada em 5 de agosto, apresentou assinatura TCP completamente diferente, com volume intenso e abrupto.
A segunda onda chamou atenção justamente por essa mudança brusca de comportamento. Para os analistas, isso indicou a introdução de novas ferramentas ou a adaptação de infraestrutura criminosa. Além disso, o ataque deixou de focar apenas no FortiOS e passou a mirar o FortiManager (FGFM), ainda que acionando a mesma tag de SSL VPN bruteforcer. Essa transição sugere evolução tática dos atacantes e maior conhecimento dos serviços expostos pela Fortinet.
Evidências e implicações para segurança
Outro ponto interessante foi o achado de um possível ambiente residencial ligado a esses ataques. Em junho, assinaturas de cliente relacionadas ao mesmo padrão TCP foram associadas a um dispositivo FortiGate localizado em um bloco de ISP residencial. Apesar de não se confirmar uso de proxy ou VPN comercial, o evento reforça a hipótese de que os testes das ferramentas começaram em um ambiente doméstico antes de escalar para campanhas globais.
Essas descobertas reforçam três pontos críticos:
-
Ataques de força bruta não cessaram. Pelo contrário, eles continuam evoluindo.
-
Há mudança de alvos. O foco saiu do FortiOS e passou ao FortiManager, mostrando diversidade de vetores.
-
Spikes precedem CVEs. Em 80% dos casos analisados pela GreyNoise, aumentos bruscos de ataques foram seguidos pela divulgação de vulnerabilidades em até seis semanas.
Conclusão
Empresas que utilizam soluções Fortinet devem revisar imediatamente suas práticas de segurança. Isso inclui habilitar autenticação multifator, reduzir exposição de serviços administrativos, aplicar patches de forma proativa e monitorar assinaturas anômalas em logs.
O caso reforça a importância de análises comportamentais no tráfego de rede. Mais do que números, cada onda de ataques revela a criatividade e adaptação constante dos cibercriminosos. Para o Brasil, estar entre os principais alvos é um alerta claro: proteger VPNs não é mais uma opção, mas uma necessidade urgente.
About The Author
