Masivní kampaň FortiBleed odhalila únik dat z desítek tisíc firewallů Fortinet

Metoda útoku: žádné zero-day, jen špatná hygiena hesel

Navzdory názvu, který evokuje kdysi slavnou chybu Heartbleed, nemá FortiBleed s žádnou softwarovou zranitelností nic společného. Několik bezpečnostních firem – včetně TechCrunch, SOCRadar, Hudson Rock a Arctic Wolf – potvrdilo, že nebyly zneužity žádné neznámé zranitelnosti (zero-day).

Místo toho útočníci použili dvoukrokový dodavatelský řetězec:

• Krok 1: Zisk přihlašovacích údajů z infostealer malware. Přihlašovací údaje k administrátorským rozhraním Fortinet a VPN portálům byly nejprve ukradeny z počítačů zaměstnanců a administrátorů napadených infostealer malwarem.
• Krok 2: Prolomení hashů hesel z odhalených konfigurací. Jakmile útočníci získali počáteční přístup, extrahovali konfigurační soubory z internetově přístupných FortiGate zařízení a prolomili uložené hashe SSL VPN hesel s využitím 45-GPU clusteru, čímž zneužili slabá nebo dlouho nezměněná hesla.

Společnost SOCRadar potvrdila, že útočníci nashromáždili nejméně 30 791 ověřených funkčních přihlašovacích údajů z internetově přístupných FortiGate zařízení. Analýza Arctic Wolf nezávisle potvrdila odhady, že počet kompromitovaných zařízení se pohybuje mezi 30 000 a 75 000.

Oběti zvučných jmen

Mezi potvrzené oběti, které uvádí několik zpráv, patří Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens a PwC, stejně jako vládní agentury z nejméně 15 zemí. Reuters uvedl, že většina kompromitovaných zařízení se nachází ve Spojených státech, Indii a na Tchaj-wanu.

Nejvíce zasažená odvětví podle analyzovaných dat byla:

• IT služby (poskytovatelé spravovaných služeb, cloudové operace)
• Stavební materiály (velcí mezinárodní dodavatelé)
• Telekomunikace (operátoři první úrovně a ISP)

Několik zdrojů označuje tato tři odvětví jako nejvíce zasažená.

Souběžné útoky

Současně s FortiBleed výzkumníci zaznamenali 2,1 miliardy pokusů o hrubou silou proti více než 160 000 internetově přístupným MSSQL serverům a předpokládá se, že je provozuje stejná útočnická skupina.

Kdo za tím stojí?

Společnosti SOCRadar i Hudson Rock připisují kampaň rusky mluvící skupině s více operátory. Útočníci udržovali na kompromitovaných zařízeních aktivní back-end infrastrukturu – včetně cron jobů, telemetrie a smyček pro živý sběr přihlašovacích údajů –, což svědčí o sofistikované, probíhající operaci, nikoli o jednorázovém úniku dat.

Doporučená reakce

Bezpečnostní firmy včetně Hudson Rock, Arctic Wolf a Fortinet doporučují pro všechny organizace používající zařízení Fortinet tato okamžitá opatření:

• Vynutit okamžitou rotaci přihlašovacích údajů pro všechny administrátorské účty FortiGate a SSL VPN.
• Zavést vícefaktorové ověřování (MFA) pro každé přihlášení k VPN – to je jediné nejúčinnější opatření proti útokům dosazováním přihlašovacích údajů.
• Zkontrolovat protokoly zařízení na neautorizované exporty konfigurací, neznámé cron joby a anomální VPN relace.
• Omezit přístup ke správě rozhraní pouze na důvěryhodné IP adresy; nikdy nenechávejte administrátorské UI nebo SSH přístupné z veřejného internetu.

Bezplatný portál pro kontrolu úniku

Společnost Hudson Rock spustila bezplatný vyhledávací portál, který umožňuje organizacím prověřit jejich doménu v databázi 73 932 kompromitovaných zařízení. Tento nástroj byl široce medializován 17.–18. června 2026.