FortiBleed: Över 73 000 Fortinet-brandväggar kapade i massiv lösenordsstöld

I mitten av juni 2026 avslöjade säkerhetsforskare en av de största kampanjerna för att stjäla inloggningsuppgifter som någonsin dokumenterats riktad mot nätverkssäkerhetsenheter. Kampanjen, som fått namnet "FortiBleed", komprometterade tiotusentals Fortinet FortiGate-brandväggar och SSL VPN-gateways i 194 länder – inte genom att utnyttja okända sårbarheter, utan genom att systematiskt stjäla, knäcka och återanvända svaga eller exponerade lösenord .

Omfattningen av intrånget

Den läckta datamängden, som först upptäcktes av säkerhetsforskaren Volodymyr "Bob" Diachenko och analyserades av Hudson Rock, innehåller inloggningsuppgifter och konfigurationsdata för 73 932 unika Fortinet-brandväggars URL:er kopplade till 21 632 unika domäner . Attackerna uppskattas ha omfattat 1,16 miljarder lösenordsförsök (credential stuffing) mot över 320 000 FortiGate-enheter . Förutom lösenord innehåller datat stöldgods som fungerande admin- och SSL VPN-inloggningar, e-postadresser, lösenord i klartext, konfigurationsexporter, cron-jobb, bash-historik och anslutningssträngar – vilket ger en direkt inblick i aktiv angreppsinfrastruktur .

Angreppsmetod: Inga zero-days, bara dålig hygien

Trots namnet som för tankarna till Heartbleed har FortiBleed inget med en mjukvarusårbarhet att göra. Flera säkerhetsföretag – däribland TechCrunch, SOCRadar, Hudson Rock och Arctic Wolf – bekräftade att inga okända sårbarheter (zero-days) användes .

I stället följde angriparna en tvåstegsstrategi i leverantörskedjan:

• Steg 1: Skörda inloggningsuppgifter från informationsstöldande malware. Lösenord till Fortinets admin-gränssnitt och VPN-portaler stals först från anställdas och administratörers datorer som infekterats med informationsstöldande malware .
• Steg 2: Knäcka lösenordshashar från exponerade konfigurationer. När angriparna väl fått tillträde extraherade de konfigurationsfiler från internetuppkopplade FortiGate-enheter och knäckte de lagrade SSL VPN-lösenordshashen med hjälp av en 45 GPU-kluster, varvid de utnyttjade svaga eller ej roterade lösenord .

SOCRadar bekräftade att angriparna samlat in minst 30 791 verifierade fungerande inloggningsuppgifter från internetuppkopplade FortiGate-enheter . Arctic Wolfs analys bekräftade oberoende uppskattningen att antalet komprometterade enheter ligger mellan 30 000 och 75 000 .

Högprofilerade offer

Bekräftade offer som nämns i flera rapporter inkluderar Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens och PwC, samt myndigheter i minst 15 länder . Reuters rapporterade att flertalet komprometterade enheter fanns i USA, Indien och Taiwan .

De hårdast drabbade branscherna, enligt analyserad data, var:

• IT-tjänster (managed service providers, molntjänster)
• Byggmaterial (stora multinationella leverantörer)
• Telekommunikation (första ledets operatörer och ISP:er)

Flera källor identifierar dessa som de tre mest påverkade vertikalerna .

Relaterade samtidiga attacker

Samtidigt som FortiBleed observerade forskare 2,1 miljarder brute-force-inloggningsförsök mot över 160 000 internetexponerade MSSQL-servrar, vilket tros utföras av samma hotkluster .

Attribution

Både SOCRadar och Hudson Rock tillskriver kampanjen en rysskspråkig multioperatörshotgrupp . Angriparna upprätthöll aktiv backend-infrastruktur – inklusive cron-jobb, telemetri och löpande insamling av inloggningsuppgifter – på komprometterade enheter, vilket tyder på en sofistikerad, pågående operation snarare än en engångsstöld .

Rekommenderat agerande

Säkerhetsföretagen Hudson Rock, Arctic Wolf och Fortinet rekommenderar följande omedelbara åtgärder för alla organisationer som använder Fortinet-enheter:

• Tvinga omedelbar rotation av inloggningsuppgifter för alla FortiGate-admin- och SSL VPN-konton .
• Inför flerfaktorsautentisering (MFA) för varje VPN-inloggning – detta är den enskilt mest effektiva kontrollen mot lösenordsstöld .
• Granska enhetsloggar för obehörig konfigurationsexport, okända cron-jobb och avvikande VPN-sessioner .
• Begränsa åtkomst till hanteringsgränssnittet till betrodda IP-adresser; lämna aldrig admin-UI eller SSH exponerad mot det offentliga internet .

Gratis verktyg för att kontrollera exponering

Hudson Rock lanserade en gratis sökportal där organisationer kan söka på sin domän i den 73 932 enheter stora databasen av komprometterade inloggningsuppgifter. Verktyget uppmärksammades brett den 17–18 juni 2026 .