FortiBleed: 73.000+ Fortinet-firewalls gekraakt in gigantische inloggegevensroof

Exploitatiemethode: geen zero-days, wel slecht wachtwoordbeheer

Ondanks de naam die aan Heartbleed doet denken, heeft FortiBleed niets te maken met een softwarekwetsbaarheid. Meerdere beveiligingsbedrijven — waaronder TechCrunch, SOCRadar, Hudson Rock en Arctic Wolf — bevestigden dat er geen onbekende kwetsbaarheden (zero-days) zijn gebruikt .

In plaats daarvan volgden de aanvallers een tweestaps-aanpak in de toeleveringsketen:

• Stap 1: Inloggegevens oogsten via infostealer-malware. Inloggegevens voor Fortinet-beheerinterfaces en VPN-portalen werden eerst gestolen van computers van werknemers en beheerders die besmet waren met infostealer-malware .
• Stap 2: Wachtwoord-hashes kraken uit blootgestelde configuraties. Zodra de aanvallers een eerste toegang hadden verkregen, haalden ze configuratiebestanden van internetverbonden FortiGate-apparaten en kraakten ze de opgeslagen SSL-VPN-wachtwoord-hashes met een 45-GPU-cluster, waarbij ze gebruikmaakten van zwakke of niet-geroteerde wachtwoorden .

SOCRadar bevestigde dat de aanvallers minstens 30.791 geverifieerde werkende inloggegevens van internetverbonden FortiGate-apparaten hadden verzameld . De analyse van Arctic Wolf bevestigde onafhankelijk dat de schattingen van gecompromitteerde apparaten tussen de 30.000 en 75.000 liggen .

Spraakmakende slachtoffers

Bevestigde slachtoffers die in meerdere rapporten worden genoemd, zijn onder meer Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens en PwC, samen met overheidsinstanties in minstens 15 landen . Reuters meldde dat de meeste gecompromitteerde apparaten zich in de Verenigde Staten, India en Taiwan bevonden .

De zwaarst getroffen sectoren, volgens de geanalyseerde data, waren:

• IT-diensten (managed service providers, cloudoperaties)
• Bouwmaterialen (grote multinationale leveranciers)
• Telecommunicatie (tier-1-carriers en internetproviders)

Meerdere bronnen identificeren deze als de drie meest getroffen branches .

Gelijktijdige gerelateerde aanvallen

Gelijktijdig met FortiBleed observeerden onderzoekers 2,1 miljard brute-force-inlogpogingen tegen meer dan 160.000 internetverbonden MSSQL-servers, waarvan wordt aangenomen dat ze door dezelfde dreigingscluster worden uitgevoerd .

Toeschrijving

Zowel SOCRadar als Hudson Rock schrijven de campagne toe aan een Russischtalige multi-operator-dreigingsgroep . De aanvallers onderhielden een actieve back-end-infrastructuur — met cron-jobs, telemetrie en live credential-harvesting-loops — op gecompromitteerde apparaten, wat wijst op een geavanceerde, lopende operatie en niet op een eenmalige dataroof .

Aanbevolen reactie

Beveiligingsbedrijven zoals Hudson Rock, Arctic Wolf en Fortinet bevelen de volgende onmiddellijke acties aan voor elke organisatie die Fortinet-apparaten gebruikt:

• Forceer onmiddellijke wachtwoordrotatie voor alle FortiGate-beheer- en SSL-VPN-accounts .
• Schakel multi-factor authenticatie (MFA) in bij elke VPN-login — dit is de enige meest effectieve controle tegen credential-stuffing-aanvallen .
• Controleer apparaatlogs op ongeautoriseerde configuratie-exports, onbekende cron-jobs en afwijkende VPN-sessies .
• Beperk de toegang tot de beheerinterface tot vertrouwde IP-adressen; stel de beheer-UI of SSH nooit bloot aan het openbare internet .

Gratis opzoekportaal voor blootstelling

Hudson Rock lanceerde een gratis opzoekportaal waarmee elke organisatie hun domein kan doorzoeken tegen de dataset van 73.932 apparaten. Dit hulpmiddel werd op 17–18 juni 2026 breed bekendgemaakt .