FortiBleed-aksjonen: 73.932 Fortinet-brannmurer ble hacket – uten en eneste nullsårbarhet

Midt i juni 2026 avdekket sikkerhetsforskere en av de største passordjaktene noensinne rettet mot sikkerhetsutstyr for nettverk. Kampanjen, som har fått navnet «FortiBleed», kompromitterte titusenvis av Fortinet FortiGate-brannmurer og SSL VPN-gatewayer i 194 land – ikke ved å utnytte ukjente sårbarheter, men ved systematisk å stjele, knekke og gjenbruke svake eller eksponerte passord .

Omfanget av angrepet

Det lekkede datasettet, først oppdaget av sikkerhetsforsker Volodymyr «Bob» Diachenko og analysert av Hudson Rock, inneholder innloggingsdetaljer og konfigurasjonsdata for 73.932 unike Fortinet-brannmur-URL-er knyttet til 21.632 unike domener . Angriperne gjennomførte anslagsvis 1,16 milliarder passordstuffing-forsøk mot over 320.000 FortiGate-mål . Utover passord inneholder datadumpen fungerende admin- og SSL VPN-påloggingsdetaljer, e-postadresser, passord i klartekst, konfigurasjonseksporter, cron-jobber, bash-historikk og tilkoblingsstrenger – noe som gir et levende bilde av aktiv angrepsinfrastruktur .

Angrepsmetode: Ingen nullsårbarheter, bare dårlig passordhygiene

Til tross for navnet, som minner om Heartbleed, har FortiBleed ingenting med en programvaresårbarhet å gjøre. Flere sikkerhetsselskaper – inkludert TechCrunch, SOCRadar, Hudson Rock og Arctic Wolf – har bekreftet at ingen ukjente sårbarheter (nullsårbarheter) ble utnyttet .

I stedet fulgte angriperne en totrinns forsyningskjede-metode:

• Trinn 1: Høste innloggingsdetaljer fra infostealer-malware. Innloggingsdetaljer for Fortinets admin-grensesnitt og VPN-portaler ble først stjålet fra ansattes og administratorers maskiner infisert med infostealer-malware .
• Trinn 2: Knekk passordhash-er fra eksponerte konfigurasjoner. Etter å ha oppnådd første tilgang, hentet angriperne konfigurasjonsfiler fra internett-eksponerte FortiGate-enheter og knakk de lagrede SSL VPN-passordhash-ene ved hjelp av en 45-GPU-klynge, og utnyttet svake eller ikke-roterte passord .

SOCRadar bekreftet at angriperne samlet minst 30.791 verifiserte fungerende innloggingsdetaljer fra internett-eksponerte FortiGate-enheter . Arctic Wolfs analyse bekreftet uavhengig at anslagene over kompromitterte enheter varierer mellom 30.000 og 75.000 .

Høyt profilerte ofre

Bekreftede ofre nevnt på tvers av flere rapporter inkluderer Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens og PwC, i tillegg til offentlige etater i minst 15 nasjoner . Reuters rapporterte at flertallet av kompromitterte enheter befant seg i USA, India og Taiwan .

De hardest rammede bransjene, ifølge analyserte data, var:

• IT-tjenester (administrerte tjenesteleverandører, skydrift)
• Byggematerialer (store multinasjonale leverandører)
• Telekommunikasjon (tier-1-operatører og internettleverandører)

Flere kilder identifiserer disse som de tre mest rammede vertikalene .

Samtidige angrep

Samtidig med FortiBleed observerte forskere 2,1 milliarder brute-force-påloggingsforsøk mot over 160.000 internett-eksponerte MSSQL-servere, antatt å være utført av den samme trusselgruppen .

Attribusjon

Både SOCRadar og Hudson Rock tilskriver kampanjen en russisktalende fleroperatør-trusselgruppe . Angriperne opprettholdt aktiv bakende-infrastruktur – inkludert cron-jobber, telemetri og levende passordhøstingsløkker – på kompromitterte enheter, noe som indikerer en sofistikert, pågående operasjon snarere enn et engangstyveri av data .

Anbefalte tiltak

Sikkerhetsselskaper inkludert Hudson Rock, Arctic Wolf og Fortinet anbefaler følgende umiddelbare tiltak for enhver organisasjon som bruker Fortinet-enheter:

• Tving umiddelbar passordrotasjon for alle FortiGate admin- og SSL VPN-kontoer .
• Innfør flerfaktorautentisering (MFA) på alle VPN-pålogginger – dette er det enkeltvis mest effektive tiltaket mot passordstuffing-angrep .
• Gjennomgå enhetslogger for uautoriserte konfigurasjonseksporter, ukjente cron-jobber og avvikende VPN-økter .
• Begrens tilgang til administrasjonsgrensesnittet til kun betrodde IP-adresser; la aldri admin-brukergrensesnittet eller SSH være eksponert mot det offentlige internett .

Gratis eksponeringssjekk

Hudson Rock lanserte en gratis oppslagstjeneste der organisasjoner kan søke på sitt domene mot passorddumpen på 73.932 enheter. Verktøyet ble offentliggjort 17.–18. juni 2026 .