FortiBleed: Hơn 73.000 Tường Lửa Fortinet Bị Xâm Nhập Trong Chiến Dịch Đánh Cắp Thông Tin Đăng Nhập Quy Mô Lớn

Phương Thức Khai Thác: Không Zero-Day, Chỉ Vì Vệ Sinh An Ninh Kém

Mặc dù cái tên gợi đến lỗ hổng Heartbleed, FortiBleed không liên quan gì đến một lỗ hổng phần mềm. Nhiều công ty bảo mật — bao gồm TechCrunch, SOCRadar, Hudson Rock và Arctic Wolf — đã xác nhận rằng không có lỗ hổng chưa biết nào (zero-days) được sử dụng .

Thay vào đó, những kẻ tấn công đã thực hiện một cách tiếp cận theo chuỗi cung ứng hai bước:

• Bước 1: Thu thập thông tin đăng nhập từ phần mềm độc hại đánh cắp thông tin (infostealer). Thông tin đăng nhập cho giao diện quản trị Fortinet và cổng VPN ban đầu bị đánh cắp từ máy tính của nhân viên và quản trị viên bị nhiễm phần mềm độc hại đánh cắp thông tin .
• Bước 2: Bẻ khóa hàm băm mật khẩu từ các tệp cấu hình bị lộ. Sau khi có quyền truy cập ban đầu, những kẻ tấn công trích xuất các tệp cấu hình từ các thiết bị FortiGate kết nối internet và bẻ khóa các hàm băm mật khẩu SSL VPN được lưu trữ bằng cách sử dụng một cụm gồm 45 GPU, khai thác các mật khẩu yếu hoặc không được thay đổi .

SOCRadar xác nhận những kẻ tấn công đã thu thập được ít nhất 30.791 thông tin đăng nhập đã được xác minh là hoạt động từ các thiết bị FortiGate kết nối internet . Phân tích độc lập của Arctic Wolf cũng xác nhận ước tính về số thiết bị bị xâm phạm nằm trong khoảng từ 30.000 đến 75.000 .

Các Nạn Nhân Cấp Cao

Các nạn nhân được xác nhận qua nhiều báo cáo bao gồm Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens và PwC, cùng với các cơ quan chính phủ tại ít nhất 15 quốc gia . Hãng tin Reuters đưa tin phần lớn các thiết bị bị xâm phạm nằm ở Hoa Kỳ, Ấn Độ và Đài Loan (Trung Quốc) .

Các ngành bị ảnh hưởng nặng nề nhất, theo dữ liệu được phân tích, bao gồm:

• Dịch vụ CNTT (các nhà cung cấp dịch vụ được quản lý, vận hành đám mây)
• Vật liệu xây dựng (các nhà cung cấp đa quốc gia lớn)
• Viễn thông (các nhà mạng và ISP cấp 1)

Nhiều nguồn xác định đây là ba lĩnh vực bị ảnh hưởng nhiều nhất .

Các Cuộc Tấn Công Đồng Thời Liên Quan

Đồng thời với FortiBleed, các nhà nghiên cứu đã quan sát thấy 2,1 tỷ lần thử đăng nhập bằng vũ lực (brute-force) nhắm vào hơn 160.000 máy chủ MSSQL kết nối internet, được cho là do cùng một nhóm đe dọa thực hiện .

Thủ Phạm

Cả SOCRadar và Hudson Rock đều quy kết chiến dịch này cho một nhóm đe dọa nói tiếng Nga với nhiều nhà điều hành . Những kẻ tấn công đã duy trì cơ sở hạ tầng back-end đang hoạt động — bao gồm các tác vụ cron, công cụ đo từ xa và các vòng lặp thu thập thông tin đăng nhập trực tiếp — trên các thiết bị bị xâm phạm, cho thấy một hoạt động tinh vi, đang diễn ra chứ không phải là một vụ đánh cắp dữ liệu một lần .

Các Biện Pháp Khắc Phục Được Khuyến Nghị

Các công ty bảo mật bao gồm Hudson Rock, Arctic Wolf và Fortinet khuyến nghị các hành động ngay lập tức sau đây cho bất kỳ tổ chức nào sử dụng thiết bị Fortinet:

• Buộc thay đổi thông tin đăng nhập ngay lập tức cho tất cả các tài khoản quản trị FortiGate và SSL VPN .
• Áp dụng xác thực đa yếu tố (MFA) cho mọi lần đăng nhập VPN — đây là biện pháp kiểm soát hiệu quả nhất duy nhất chống lại các cuộc tấn công nhồi nhét thông tin đăng nhập .
• Kiểm tra nhật ký thiết bị để phát hiện các bản xuất cấu hình trái phép, các tác vụ cron không xác định và các phiên VPN bất thường .
• Giới hạn quyền truy cập giao diện quản lý chỉ từ các IP đáng tin cậy; không bao giờ để giao diện quản trị hoặc kết nối SSH lộ ra ngoài internet công cộng .

Cổng Tra Cứu Phơi Nhiễm Miễn Phí

Hudson Rock đã ra mắt cổng tra cứu miễn phí cho phép bất kỳ tổ chức nào tìm kiếm tên miền của họ trong kho dữ liệu thông tin đăng nhập của 73.932 thiết bị. Công cụ này đã được công bố rộng rãi vào ngày 17–18 tháng 6 năm 2026 .