FortiBleed: oltre 73.000 firewall Fortinet violati in una campagna globale di credential harvesting

Metodo di attacco: nessuna zero-day, solo cattiva igiene informatica

Nonostante il nome evochi Heartbleed, FortiBleed non ha nulla a che fare con una vulnerabilità software. Molteplici società di sicurezza, tra cui TechCrunch, SOCRadar, Hudson Rock e Arctic Wolf, hanno confermato che non sono state utilizzate vulnerabilità sconosciute (zero-day) .

Gli attaccanti hanno invece seguito un approccio a due fasi basato sulla catena di fornitura:

• Fase 1: raccolta di credenziali tramite malware infostealer. Le credenziali per le interfacce admin di Fortinet e i portali VPN sono state inizialmente rubate da computer di dipendenti e amministratori infettati con malware infostealer .
• Fase 2: cracking degli hash delle password dalle configurazioni esposte. Una volta ottenuto l'accesso iniziale, gli attaccanti hanno estratto i file di configurazione dai dispositivi FortiGate esposti su internet e hanno decifrato gli hash delle password SSL VPN memorizzate utilizzando un cluster di 45 GPU, sfruttando password deboli o non cambiate .

SOCRadar ha confermato che gli attaccanti hanno accumulato almeno 30.791 credenziali funzionanti verificate da dispositivi FortiGate esposti su internet . L'analisi indipendente di Arctic Wolf ha confermato che le stime dei dispositivi compromessi variano tra 30.000 e 75.000 .

Vittime di alto profilo

Tra le vittime confermate nominate in diversi rapporti figurano Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens e PwC, insieme ad agenzie governative in almeno 15 nazioni . Reuters ha riferito che la maggior parte dei dispositivi compromessi si trovava in Stati Uniti, India e Taiwan .

I settori più colpiti, secondo i dati analizzati, sono stati:

• Servizi IT (fornitori di servizi gestiti, operation cloud)
• Materiali da costruzione (grandi fornitori multinazionali)
• Telecomunicazioni (carrier di livello 1 e ISP)

Molteplici fonti identificano questi come i tre settori più impattati .

Attacchi simultanei correlati

Contemporaneamente a FortiBleed, i ricercatori hanno osservato 2,1 miliardi di tentativi di accesso brute-force contro oltre 160.000 server MSSQL esposti su internet, ritenuti gestiti dallo stesso cluster di minaccia .

Attribuzione

Sia SOCRadar che Hudson Rock attribuiscono la campagna a un gruppo di minaccia multi-operator di lingua russa . Gli attaccanti mantenevano un'infrastruttura back-end attiva, inclusi cron job, telemetria e cicli live di credential harvesting, sui dispositivi compromessi, indicando un'operazione sofisticata e in corso, non un semplice furto di dati una tantum .

Risposta raccomandata

Le società di sicurezza, tra cui Hudson Rock, Arctic Wolf e Fortinet, raccomandano le seguenti azioni immediate per qualsiasi organizzazione che utilizzi dispositivi Fortinet:

• Imporre la rotazione immediata delle credenziali per tutti gli account admin di FortiGate e SSL VPN .
• Abilitare l'autenticazione multi-fattore (MFA) su ogni accesso VPN: questo è il singolo controllo più efficace contro gli attacchi di credential stuffing .
• Verificare i log di dispositivo per esportazioni di configurazione non autorizzate, cron job sconosciuti e sessioni VPN anomale .
• Limitare l'accesso all'interfaccia di gestione solo a IP fidati; non lasciare mai l'interfaccia admin o SSH esposta alla rete internet pubblica .

Portale gratuito per la verifica dell'esposizione

Hudson Rock ha lanciato un portale di verifica gratuito che consente a qualsiasi organizzazione di cercare il proprio dominio rispetto al dump di credenziali di 73.932 dispositivi. Questo strumento è stato ampiamente pubblicizzato il 17 e 18 giugno 2026 .