FortiBleed: более 73 000 файрволов Fortinet скомпрометированы в ходе масштабной кампании по краже учётных данных

Метод эксплуатации: никаких zero-day, только плохая гигиена

Несмотря на название, вызывающее ассоциации с Heartbleed, FortiBleed не имеет никакого отношения к уязвимостям в программном обеспечении. Множество компаний в сфере безопасности — включая TechCrunch, SOCRadar, Hudson Rock и Arctic Wolf — подтвердили, что никакие неизвестные уязвимости (zero-day) не использовались .

Вместо этого злоумышленники применили двухэтапный подход, основанный на компрометации цепочки поставок:

• Шаг 1: Сбор учётных данных с помощью infostealer-вредоносного ПО. Учётные данные для интерфейсов администрирования Fortinet и VPN-порталов были изначально украдены с компьютеров сотрудников и администраторов, заражённых infostealer-вирусами .
• Шаг 2: Взлом хэшей паролей из экспортированных конфигураций. Получив первоначальный доступ, злоумышленники извлекали конфигурационные файлы из доступных через интернет устройств FortiGate и взламывали хэши паролей SSL VPN, используя кластер из 45 GPU, эксплуатируя слабые или давно не менявшиеся пароли .

SOCRadar подтвердил, что злоумышленники собрали как минимум 30 791 проверенных рабочих учётных записей с доступных через интернет устройств FortiGate . Независимый анализ Arctic Wolf подтвердил, что оценки скомпрометированных устройств колеблются от 30 000 до 75 000 .

Известные жертвы

Подтверждённые жертвы, названные в многочисленных отчётах, включают Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens и PwC, а также правительственные учреждения как минимум в 15 странах . Reuters сообщил, что большинство скомпрометированных устройств находилось в США, Индии и на Тайване .

Наиболее пострадавшие отрасли, согласно проанализированным данным:

• IT-услуги (управляемые сервис-провайдеры, облачные операции)
• Производство стройматериалов (крупные многонациональные поставщики)
• Телекоммуникации (операторы первого уровня и интернет-провайдеры)

Множество источников называют эти три сектора наиболее пострадавшими .

Сопутствующие одновременные атаки

Одновременно с FortiBleed исследователи зафиксировали 2,1 миллиарда попыток подбора паролей против более чем 160 000 серверов MSSQL, доступных через интернет, которые, как предполагается, контролируются той же группой угроз .

Атрибуция

И SOCRadar, и Hudson Rock приписывают кампанию русскоязычной группе угроз с несколькими операторами . Злоумышленники поддерживали активную серверную инфраструктуру — включая задачи cron, телеметрию и активные циклы сбора учётных данных — на скомпрометированных устройствах, что указывает на сложную, продолжающуюся операцию, а не на разовый сбор данных .

Рекомендуемые действия

Компании в сфере безопасности, включая Hudson Rock, Arctic Wolf и Fortinet, рекомендуют следующие немедленные меры для любой организации, использующей устройства Fortinet:

• Немедленно принудительно смените все учётные данные для учётных записей администратора FortiGate и SSL VPN .
• Включите многофакторную аутентификацию (MFA) для каждого входа в VPN — это единственный наиболее эффективный метод защиты от атак по подбору учётных данных .
• Проверьте логи устройств на предмет несанкционированного экспорта конфигураций, неизвестных задач cron и подозрительных VPN-сессий .
• Ограничьте доступ к интерфейсу управления только доверенными IP-адресами; никогда не оставляйте панель администратора или SSH доступными из интернета .

Бесплатный портал проверки на утечку

Компания Hudson Rock запустила бесплатный портал проверки, позволяющий любой организации проверить свой домен на предмет наличия в базе данных 73 932 скомпрометированных устройств. Этот инструмент был широко разрекламирован 17–18 июня 2026 года .