A segurança da rede já não é apenas questão de bloquear portos e filtrar tráfego: os dispositivos colocados no perímetro, como os corta-fogos de nova geração (NGFW), tornaram-se portas de entrada cobiçadas pelos atacantes. Recentemente, pesquisadores de segurança documentaram uma campanha em que atores maliciosos tomaram como alvos dispositivos FortiGate para se abrir caminho para redes de vítimas, obter credenciais de contas de serviço e, daí, mover-se lateralmente dentro de infraestruturas críticas. A análise pormenorizada está disponível no relatório SentinelOne, que descreve como essas intrusões aproveitam vulnerabilidades divulgadas e configurações fracas.
Um aspecto chave que explica os pesquisadores é o papel privilegiado que os NGFW desempenham bem configurados: além de inspeccionar e filtrar tráfego, muitos se integram com serviços de autenticação como Active Directory (AD) ou LDAP para mapear usuários, aplicar políticas por papel e acelerar respostas a incidentes. Essa mesma integração, quando cai nas mãos erradas, torna-se uma escada direta para os ativos mais sensíveis de uma organização. Como os autores do relatório assinalam, o acesso às credenciais de contas de serviço pode permitir autenticações automatizadas contra a diretório corporativa e operações que seriam impossíveis de uma conta padrão.
O modus operandi observado inclui aproveitar falhas já conhecidas no próprio firmware ou na exposição de credenciais administrativas fracas para extrair o arquivo de configuração do aparelho. Em pelo menos um incidente documentado, os atacantes conseguiram criar uma conta administrativa local chamada "support" e configurar regras de firewall que permitiam a essa conta circular entre zonas de rede sem restrições. Esse comportamento é típico do que fazem os chamados initial access corretos: estabelecer e manter um acesso persistente e comercializável até que outros criminosos o compram ou o usam para implantar cargas daninhas.
A cronologia do ataque mostra como uma primeira intrusão pode passar meses sendo silenciosa: depois de manter o acesso, os adversários voltaram a acessar o dispositivo meses depois e extraíram a configuração que continha credenciais cifradas de serviços LDAP. Segundo SentinelOne, houve evidência de que essas credenciais foram recuperadas em texto claro e utilizadas para autenticar-se ante o AD com a conta do serviço "fortidcagent". Com esse nível de privilégio os atacantes puderam inscrever estações de trabalho fraudulentas no domínio, executar barridos de rede e, em outros casos, implantar ferramentas de acesso remoto como Pulseway e MeshAgent para manter controle à distância. O relatório documenta ainda a descarga de malware desde armazenamento na nuvem usando PowerShell e a execução de uma carga Java por DLL side-loading que exfiltró a base de dados de AD (NTDS.dit) e o ramo SYSTEM do registro para um servidor externo (indicador citado: "172.67.196[.]232" sobre o porto 443).
Que o atacante chegasse a extrair dados do NTDS.dit é especialmente grave: nesse arquivo são armazenados hashes e objetos críticos do domínio, e seu roubo facilita a criação de senhas, escalada de privilégios e preparação de campanhas posteriores como a implantação de ransomware ou roubo de informações em larga escala. A Microsoft explica a sensibilidade do arquivo e por que sua integridade e confidencialidade são fundamentais na gestão do Active Directory na documentação técnica do serviço de diretório ( Active Directory: NTDS.DIT).
Este tipo de incidentes não só ilustra o risco técnico, mas também a cadeia de consequências: um dispositivo concebido para proteger a rede pode tornar-se uma alavanca para controlá-la se não forem aplicados adesivos, se as suas credenciais não forem adequadamente protegidas, ou se forem concedidas licenças excessivas. Fortinet publica avisos de segurança e adesivos para seus produtos em sua página oficial de avisos de segurança, e manter o firmware por dia é uma das primeiras linhas de defesa ( Fortinet Security Advisories).
O que as organizações devem fazer para reduzir o risco? Em primeiro lugar, aplicar adesivos com prioridade em dispositivos de borda e monitorar mudanças nas configurações. Também é crucial reduzir o alcance e os privilégios das contas de serviço que usa o equipamento de rede: se uma conta de um dispositivo pode autenticar-se contra AD com permissões amplas, seu compromisso tem um impacto muito maior. Além disso, convém segregar funções administrativas, limitar a exposição de interfaces de gestão a redes de confiança ou VPNs, e auditar continuamente os acessos e a criação de contas privilegiadas. Tudo isto é complementado com a rotação e proteção de chaves e senhas, a implantação de MFA onde seja possível e a monitorização de tráfego saliente suspeito para infra-estruturas de terceiros.
A lição é clara: os NGFW fornecem valor porque conhecem a rede e podem atuar com contexto, mas essa visibilidade não deve se transformar em uma única chave-prima. As organizações que dependem destes equipamentos devem tratá-los com o mesmo rigor que aplicam a servidores críticos: adesivos rápidos, configurações mínimas, papéis de serviço com privilégios limitados e monitorização especializada. A comunidade de segurança e fornecedores já mostraram que os atacantes apontam para estes elementos; a resposta prática passa por reduzir a superfície de ataque e ter procedimentos de detecção e resposta afinados para quando, inevitavelmente, alguém conseguir passar a primeira barreira.
Os detalhes técnicos do caso e recomendações adicionais estão no relatório do SentinelOne, e os avisos de Fortinet fornecem as informações necessárias para identificar e corrigir erros em versões concretas. Proteger a porta de entrada da rede hoje exige não só bons produtos, mas manutenção diligente e uma arquitetura que assuma que qualquer dispositivo pode ser comprometido e que limite o dano se isso acontecer.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...