FortiBleed: Ponad 73 000 firewalli Fortinet skompromitowanych – ofiarami globalne korporacje i rządy

Metoda ataku: bez zero-day, po prostu zła higiena

Mimo że nazwa przywodzi na myśl Heartbleed, FortiBleed nie ma nic wspólnego z luką w oprogramowaniu. Wiele firm zajmujących się bezpieczeństwem – w tym TechCrunch, SOCRadar, Hudson Rock i Arctic Wolf – potwierdziło, że nie wykorzystano żadnych nieznanych luk (zero-day) .

Zamiast tego atakujący zastosowali dwuetapowe podejście typu łańcuch dostaw:

• Krok 1: Kradzież danych logowania za pomocą infostealerów. Dane logowania do interfejsów administracyjnych Fortinet i portali VPN zostały w pierwszej kolejności skradzione z komputerów pracowników i administratorów zainfekowanych złośliwym oprogramowaniem typu infostealer .
• Krok 2: Łamanie hashów haseł z ujawnionych konfiguracji. Po uzyskaniu wstępnego dostępu atakujący wyodrębnili pliki konfiguracyjne z urządzeń FortiGate dostępnych przez internet i złamali przechowywane hashy haseł SSL VPN za pomocą klastra 45 kart GPU, wykorzystując słabe lub niezmieniane hasła .

Firma SOCRadar potwierdziła, że atakujący zgromadzili co najmniej 30 791 zweryfikowanych, działających danych logowania z urządzeń FortiGate dostępnych przez internet . Niezależna analiza Arctic Wolf potwierdziła, że szacunki dotyczące liczby skompromitowanych urządzeń wahają się od 30 000 do 75 000 .

Ofiary z najwyższej półki

Potwierdzone ofiary wymienione w wielu raportach to m.in. Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens i PwC, a także agencje rządowe w co najmniej 15 krajach . Reuters podał, że większość skompromitowanych urządzeń znajdowała się w Stanach Zjednoczonych, Indiach i na Tajwanie .

Najbardziej dotknięte branże, według analizowanych danych, to:

• Usługi IT (dostawcy usług zarządzanych, operatorzy chmury)
• Materiały budowlane (duże międzynarodowe koncerny)
• Telekomunikacja (operatorzy pierwszego rzędu i ISP)

Wiele źródeł wskazuje te trzy sektory jako najbardziej dotknięte .

Równoczesne ataki

Równolegle z FortiBleed badacze zaobserwowali 2,1 miliarda prób logowania siłowego przeciwko ponad 160 000 serwerów MSSQL dostępnych przez internet, które prawdopodobnie były prowadzone przez tę samą grupę zagrożeń .

Kto za tym stoi?

Zarówno SOCRadar, jak i Hudson Rock przypisują kampanię grupie wieloosobowej mówiącej po rosyjsku . Atakujący utrzymywali aktywną infrastrukturę zaplecza – w tym zadania cron, telemetrię i aktywne pętle zbierania danych logowania – na skompromitowanych urządzeniach, co wskazuje na wyrafinowaną, trwającą operację, a nie jednorazowe przechwycenie danych .

Zalecane działania

Firmy zajmujące się bezpieczeństwem, w tym Hudson Rock, Arctic Wolf i Fortinet, zalecają następujące natychmiastowe działania dla każdej organizacji używającej urządzeń Fortinet:

• Wymuś natychmiastową rotację haseł dla wszystkich kont administratora FortiGate i SSL VPN .
• Wdróż uwierzytelnianie wieloskładnikowe (MFA) dla każdego logowania VPN – to najskuteczniejsza pojedyncza kontrola przeciwko atakom typu credential stuffing .
• Audytuj logi urządzeń pod kątem nieautoryzowanych eksportów konfiguracji, nieznanych zadań cron i anomalnych sesji VPN .
• Ogranicz dostęp do interfejsu zarządzania tylko do zaufanych adresów IP; nigdy nie pozostawiaj interfejsu administracyjnego ani SSH dostępnego z publicznego internetu .

Bezpłatny portal do sprawdzania ekspozycji

Firma Hudson Rock uruchomiła bezpłatny portal umożliwiający każdej organizacji sprawdzenie, czy jej domena znajduje się w zestawie danych z 73 932 urządzeń. Portal został szeroko nagłośniony w dniach 17–18 czerwca 2026 roku .