Aviso: Todas as informações contidas neste artigo foram obtidas através de métodos de inteligência de fontes abertas (OSINT), extraídas de documentações oficiais e blogs de pesquisa de ameaças, utilizando a plataforma Shodan. Os dados são públicos. O objetivo deste texto não é ofender as instituições citadas, mas sim evidenciar a fragilidade da postura de segurança cibernética nacional diante de configurações padrão e equipamentos obsoletos.

Introdução: O Mecanismo de Busca da "Internet das Coisas"

Para compreender a exposição de ativos na internet, é fundamental entender a ferramenta utilizada para essa análise: o Shodan. Criado pelo desenvolvedor web John Matherly

o Shodan é descrito como o primeiro mecanismo de busca para computadores e dispositivos conectados. Diferente dos motores de busca convencionais, como o Google ou o Bing, que rastreiam a World Wide Web (conteúdo de páginas e hipertextos), o Shodan rastreia a Internet em si.

Tecnicamente, o Shodan se diferencia por não indexar o conteúdo visual de um site, mas sim os metadados (chamados de "banners") que os dispositivos enviam de volta quando uma conexão é tentada em suas portas,. Ele opera de forma assíncrona, interrogando portas (como 80, 22, 21, 541, etc) em endereços IP aleatórios e coletando as respostas, que podem incluir versões de software, mensagens de boas-vindas , prints de telas de login e configurações de serviço.

As principais aplicações desses dados variam desde a segurança de rede (monitoramento de dispositivos corporativos expostos) e pesquisas de mercado (identificação de uso de produtos) até a análise de risco cibernético e rastreamento de ransomware. No entanto, essa visibilidade é uma "faca de dois gumes": as mesmas informações usadas por pesquisadores para defesa são utilizadas por atores de ameaças para identificar alvos vulneráveis.

Análise de Caso: Famoso queijo suiço, " Fortibrechas"!!

Com base na capacidade do Shodan, realizei um estudo focado no cenário brasileiro utilizando a query product: Fortinet country: "BR". A escolha da Fortinet deve-se à sua popularidade e à ironia de que muitos dispositivos de segurança (firewalls), projetados para proteger redes, acabam sendo o vetor de entrada devido a configurações inseguras. Embora o volume total de dispositivos identificados ultrapasse 21.000 itens, nossa análise baseou-se em um dump de aproximadamente 12.000 dados (limitado pela API), o que fornece uma amostragem estatística robusta do cenário nacional. Para sintetizar os dados usei um script basico em python + pandas + json

1. O Mapa da Exposição no Brasil

A análise demográfica dos dados revela que a infraestrutura crítica e corporativa está concentrada no Sudeste. O estado de São Paulo lidera isoladamente com 5.427 dispositivos detectados, seguido pelo Rio Grande do Sul (1.061) e Rio de Janeiro (984).

Entre as cidades analisadas :

Entre as organizações (ISPs e empresas) com maior número de dispositivos Fortinet expostos, destacam-se:

Análise de Distribuição de Hardware A predominância de modelos de entrada, como o FortiGate-40F (2.785 unidades) e o FortiGate-30E (1.562 unidades), indica uma forte presença em ambientes de pequenas e médias empresas. No entanto, o volume de dispositivos antigos ativos expõe um risco sistêmico de segurança.

Obsolescência Crítica: Linha 60D Identificamos 331 unidades do FortiGate-60D ainda em operação. Estes dispositivos estão limitados à versão de firmware 6.0.18, cujo suporte (EOS) encerrou-se em setembro de 2022. Sem acesso a atualizações de segurança para novas CVEs, estes firewalls representam um vetor de entrada facilitado para atacantes, comprometendo a integridade do perímetro.

Limitação de Hardware e Risco de Non-Compliance: 30E e 50E O dado mais preocupante é a presença massiva das linhas 30E e 50E, totalizando quase 2.400 dispositivos (aprox. 20% da amostra). Devido a limitações de hardware, estes modelos não suportam versões do FortiOS superiores à 6.2. Enquanto as versões 6.4, 7.0 e superiores recebem patches frequentes, a versão 6.2 está estagnada. A utilização destes equipamentos impede a aplicação de correções para vulnerabilidades recentes, colocando as organizações em risco direto de incidentes de segurança e violação de conformidade.

Ainda citando os caso Crítico dos 30E, 50E e 60D chegamos ao ponto mais ácido e alarmante da nossa análise. Enquanto o mercado fala sobre Zero Trust e IA, a infraestrutura brasileira roda em cima de peças de museu.

Com uma soma de quase 2.400 dispositivos o que da cerca de 20% da nossa amostra que são, tecnicamente, pesos de papel em funcionamento.

A Fortinet já lançou correções críticas para versões 7.0, 7.2, 7.4 e até para a linha 6.4. No entanto, quem está preso na versão 6.2 está, na prática, abandonado à própria sorte em termos de engenharia de segurança. Vulnerabilidades descobertas de 2023 para cá (e são muitas) não possuem patches efetivos para esses caixas. Manter um alguns hardwares com linha D e E, na borda da sua rede hoje não é coragem, é negligência.

E não podemos esquecer da "Linha D" (como o FortiGate-60D, com 331 unidades detectadas), que já está fazendo hora extra na Terra há anos.

2. Portas Abertas: O Convite ao Perigo

O dado mais alarmante da análise não é o número de dispositivos, mas como eles estão configurados. O Shodan indexa portas que deveriam, idealmente, estar restritas a redes de gerenciamento ou VPNs.

• Porta 541 (Gerenciamento FortiManager): Foi a porta mais comum, detectada em 4.671 hosts. A porta 541 é utilizada para tráfego de gerenciamento entre o FortiGate e o FortiManager. Deixar essa porta aberta para toda a internet permite que qualquer pessoa tente se conectar à interface de gerenciamento do dispositivo. A Fortinet recomenda explicitamente restringir esse acesso através de Local-In Policies para aceitar conexões apenas de IPs confiáveis do FortiManager.

• Portas Web e VPN (10443, 443, 4443, etc): Milhares de dispositivos expõem interfaces administrativas ou portais SSL-VPN em portas alternativas como 10443 (3.879 hosts). A exposição de portais SSL-VPN é um vetor crítico, pois vulnerabilidades conhecidas (CVEs) nessas interfaces são frequentemente exploradas por atacantes para obter acesso inicial à rede e, em alguns casos, manter persistência através de modificações no sistema de arquivos.

• SNMP (Porta 161): Detectamos 768 hosts expondo o serviço SNMP. Isso é grave pois o SNMP mal configurado pode vazar informações sensíveis da organização, como nomes de contatos internos e localizações físicas

• Uma analise dos dados coletados, onde temos um equipamento com comunidade public exposto para internet (ex: "Suporte DETIC Interior"), facilitando ataques de engenharia social.

O Shodan como Ferramenta de CVEs e Mitigação

O Shodan permite correlacionar os banners coletados com bancos de dados de vulnerabilidades. Através da API CVEDB, é possível verificar rapidamente se um serviço exposto possui CVEs conhecidas e se elas estão na lista de vulnerabilidades exploradas ativamente (KEV),.

Para administradores de sistemas que utilizam Fortinet, a "visão do atacante" proporcionada pelo Shodan deve servir como um alerta para a aplicação imediata de boas práticas de hardening:

1. Restrição de Acesso Administrativo: Desabilite o acesso administrativo (HTTP, HTTPS, SSH, Ping) na interface externa (WAN). Se o gerenciamento remoto for necessário, utilize VPNs para acessá-lo.
2. Trusted Hosts: Configure "Trusted Hosts" para limitar o login administrativo apenas a endereços IP específicos, impedindo que o restante da internet acesse a tela de login,.
3. Local-In Policies: Para portas como a 541, crie políticas locais que bloqueiem conexões de qualquer IP que não seja o do seu servidor de gerenciamento.
4. Autenticação Robusta: Implemente autenticação de dois fatores (2FA) para todos os administradores e altere as portas padrão (ex: mude HTTPS de 443 para uma porta não padrão, embora isso seja apenas segurança por obscuridade e não substitua as outras medidas),.
5. Atualização Constante: Atores de ameaças exploram vulnerabilidades conhecidas (N-days) dias após sua divulgação. Manter o firmware atualizado é a defesa mais básica e crítica,.

Conclusão

O Shodan não cria vulnerabilidades; ele apenas ilumina o que já está exposto. A análise dos dados no Brasil mostra que, embora as empresas invistam em hardware de segurança de ponta como a Fortinet, falhas básicas de configuração e "higiene cibernética" continuam deixando as portas abertas. Utilizar o Shodan para auditar a própria infraestrutura é o primeiro passo para fechar essas brechas antes que um atacante as encontre.

Fontes utilizadas:

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Port-Scan-showing-port-541-open-on-FortiGate/ta-p/274749

https://www.shodan.io/search?query=product%3AFortinet+country%3A%22BR%22+

https://docs.fortinet.com/upgrade-tool/fortigate