FortiBleed: Over 73.000 Fortinet-firewalls kompromitteret i massiv kampagne

Angrebsmetode: Ingen nul-dages, bare dårlig hygiejne

På trods af navnet, der minder om Heartbleed, har FortiBleed intet at gøre med en software-sårbarhed. Flere sikkerhedsfirmaer – herunder TechCrunch, SOCRadar, Hudson Rock og Arctic Wolf – har bekræftet, at ingen ukendte sårbarheder (nul-dages) blev brugt .

I stedet fulgte angriberne en totrins forsyningskæde-tilgang:

• Trin 1: Høst legitimationsoplysninger fra infostealer-malware. Legitimationsoplysninger til Fortinet-admingrænseflader og VPN-portaler blev først stjålet fra medarbejder- og administratormaskiner inficeret med infostealer-malware .
• Trin 2: Knæk adgangskode-hashes fra eksponerede konfigurationer. Når angriberne først havde opnået adgang, udtrak de konfigurationsfiler fra internet-tilgængelige FortiGate-enheder og knækkede de gemte SSL VPN-adgangskode-hashes ved hjælp af en 45-GPU-klynge, hvilket udnyttede svage eller ikke-roterede adgangskoder .

SOCRadar bekræftede, at angriberne indsamlede mindst 30.791 verificerede fungerende legitimationsoplysninger fra internet-tilgængelige FortiGate-enheder . Arctic Wolfs analyse bekræftede uafhængigt, at skøn over kompromitterede enheder ligger mellem 30.000 og 75.000 .

Højprofilerede ofre

Bekræftede ofre nævnt på tværs af flere rapporter inkluderer Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens og PwC, samt offentlige myndigheder i mindst 15 nationer . Reuters rapporterede, at flertallet af kompromitterede enheder var placeret i USA, Indien og Taiwan .

De hårdest ramte brancher, ifølge analyserede data, var:

• IT-services (administrerede tjenesteudbydere, cloud-operationer)
• Byggematerialer (store multinationale leverandører)
• Telekommunikation (tier-1-operatører og internetudbydere)

Flere kilder identificerer disse som de tre mest påvirkede vertikaler .

Relaterede samtidige angreb

Samtidig med FortiBleed observerede forskere 2,1 milliarder brute-force-loginforsøg mod mere end 160.000 internet-eksponerede MSSQL-servere, formodet at være udført af den samme trusselsklynge .

Attribuering

Både SOCRadar og Hudson Rock tilskriver kampagnen en russisktalende multi-operatør-trusselsgruppe . Angriberne opretholdt aktiv back-end-infrastruktur – inklusive cron-jobs, telemetri og live legitimationsindsamlings-loops – på kompromitterede enheder, hvilket indikerer en sofistikeret, igangværende operation snarere end en engangsdatahøst .

Anbefalede handlinger

Sikkerhedsfirmaer, herunder Hudson Rock, Arctic Wolf og Fortinet, anbefaler følgende øjeblikkelige handlinger for enhver organisation, der bruger Fortinet-enheder:

• Gennemtving øjeblikkelig rotation af legitimationsoplysninger for alle FortiGate-admin- og SSL VPN-konti .
• Implementer multi-faktor-autentificering (MFA) på alle VPN-logins – dette er den enkeltstående mest effektive kontrol mod legitimationsindsamlingsangreb .
• Gennemgå enhedslogfiler for uautoriserede konfigurationseksporter, ukendte cron-jobs og uregelmæssige VPN-sessioner .
• Begræns adgang til administrationsgrænsefladen til kun betroede IP'er; lad aldrig admin-brugergrænsefladen eller SSH være eksponeret mod det offentlige internet .

Gratis eksponeringsopslagsportal

Hudson Rock lancerede en gratis opslagsportal, der giver enhver organisation mulighed for at søge deres domæne i datasættet med 73.932 enheder. Værktøjet blev bredt publiceret den 17.–18. juni 2026 .