CISA ostrzega klientów Fortinet po kampanii FortiBleed obejmującej dziesiątki tysięcy urządzeń FortiGate - Security Bez Tabu

CISA ostrzega klientów Fortinet po kampanii FortiBleed obejmującej dziesiątki tysięcy urządzeń FortiGate

Cybersecurity news

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA ostrzegła organizacje korzystające z urządzeń Fortinet FortiGate przed skutkami kampanii określanej jako FortiBleed. Sprawa dotyczy masowego przejmowania dostępu do publicznie dostępnych zapór i bram VPN poprzez nadużycie prawidłowych danych logowania, ataki typu credential stuffing oraz słabe praktyki związane z hasłami administratorów.

To szczególnie istotny incydent, ponieważ urządzenia brzegowe pełnią rolę krytycznego punktu wejścia do sieci przedsiębiorstw i instytucji. Ich kompromitacja może umożliwić atakującym zarówno wejście do środowiska, jak i dalsze poruszanie się po infrastrukturze.

W skrócie

Według opublikowanych informacji kampania objęła 86 644 urządzenia FortiGate dostępne z internetu. Atakujący mieli wykorzystywać zarówno konta domyślne i systemowe, jak i konta utworzone przez same organizacje.

  • masowe skanowanie publicznych interfejsów logowania Fortinet,
  • automatyczne testowanie znanych kombinacji loginów i haseł,
  • wykorzystywanie poświadczeń z wcześniejszych wycieków,
  • pozyskiwanie kolejnych danych uwierzytelniających z ruchu przechodzącego przez przejęte urządzenia.

CISA zaleca natychmiastowy reset haseł, zakończenie aktywnych sesji administracyjnych i VPN, wdrożenie MFA oraz weryfikację sposobu przechowywania skrótów haseł administratorów.

Kontekst / historia

Kampania FortiBleed została nagłośniona po odkryciu serwera zawierającego bazę działających poświadczeń do tysięcy zapór sieciowych i bram VPN w 194 krajach. Z dostępnych analiz wynika, że problem nie wiąże się z pojedynczą nową luką zdalnego wykonania kodu, lecz z połączeniem wcześniej pozyskanych danych uwierzytelniających, słabej higieny haseł oraz automatyzacji przejmowania kont.

Urządzenia brzegowe od lat pozostają jednym z najatrakcyjniejszych celów dla grup specjalizujących się w uzyskiwaniu initial access. Przejęcie takiego systemu może otworzyć drogę do ruchu bocznego, podsłuchu sesji, eskalacji uprawnień oraz zdobycia kolejnych kont uprzywilejowanych.

W analizach wskazano również, że szczególnie dotknięte były sektory telekomunikacyjny, publiczny i edukacyjny. To pokazuje, że kampania miała szeroki i międzysektorowy charakter.

Analiza techniczna

Z technicznego punktu widzenia FortiBleed przypomina zautomatyzowaną operację opartą na użyciu prawidłowych poświadczeń. Atakujący najpierw skanowali internet w poszukiwaniu publicznie dostępnych interfejsów logowania Fortinet, a następnie wykorzystywali własne narzędzia do testowania znanych kombinacji loginów i haseł.

Model działania miał charakter dwuetapowy. W pierwszej fazie operatorzy testowali listy haseł powiązanych z kontami Fortinet, w tym konta generyczne, fabryczne oraz dane pochodzące z wcześniejszych wycieków. W drugiej fazie, po uzyskaniu dostępu, mogli pasywnie monitorować ruch przechodzący przez urządzenia w celu wydobycia kolejnych poświadczeń i rozszerzania zasięgu kampanii.

Istotnym elementem jest również sposób przechowywania haseł administratorów. Fortinet wprowadził obsługę PBKDF2 dla poświadczeń administracyjnych w FortiOS 7.2.11, 7.4.8 i 7.6.1, zastępując starszy mechanizm oparty na SHA-256. Samo podniesienie wersji systemu nie gwarantuje jednak natychmiastowej migracji wszystkich istniejących haseł do nowszego schematu ochrony. Jeśli administratorzy nie zalogowali się ponownie po aktualizacji, część kont mogła pozostać zapisana według starszego mechanizmu haszowania.

W praktyce problem nie ogranicza się więc do samej ekspozycji usług zdalnych. To kombinacja kilku czynników: publicznie dostępnych paneli, słabych lub niezmienionych haseł, recyklingu poświadczeń, braku MFA oraz dziedziczonych ustawień bezpieczeństwa po aktualizacjach.

Konsekwencje / ryzyko

Ryzyko dla organizacji jest wysokie, ponieważ przejęcie urządzenia FortiGate może skutkować utratą poufności, integralności i dostępności środowiska. Atakujący, dysponując dostępem administracyjnym lub VPN, mogą zmieniać konfigurację zapory, tworzyć nowe konta, modyfikować polityki filtrowania ruchu, przechwytywać dane uwierzytelniające oraz budować przyczółek do dalszej penetracji infrastruktury.

Nie mniej ważne są skutki operacyjne. Kompromitacja systemu brzegowego może przez długi czas pozostać niezauważona, zwłaszcza gdy atak opiera się na poprawnych danych logowania zamiast klasycznego exploita. To znacząco utrudnia detekcję, ponieważ wiele działań może wyglądać jak legalna aktywność administratora lub użytkownika VPN.

Przy takiej skali kampanii istnieje również ryzyko budowy zweryfikowanej bazy działających poświadczeń, która może zostać wykorzystana do dalszych włamań lub odsprzedana innym grupom cyberprzestępczym.

Rekomendacje

Organizacje korzystające z FortiGate powinny potraktować sprawę jako potencjalny incydent bezpieczeństwa i wdrożyć działania zarówno doraźne, jak i strategiczne.

  • zakończyć wszystkie aktywne sesje administracyjne oraz sesje SSL VPN,
  • zresetować hasła kont administracyjnych, VPN, technicznych i współdzielonych,
  • wymusić silne zasady haseł oraz usunąć konta domyślne i generyczne,
  • włączyć MFA odporne na phishing dla wszystkich interfejsów zdalnych i administracyjnych,
  • zweryfikować wersję FortiOS i potwierdzić użycie PBKDF2 dla poświadczeń administratorów,
  • przeanalizować logi zapory, VPN, systemów uwierzytelniania i kontrolerów domeny,
  • ograniczyć publiczny dostęp do paneli zarządzania poprzez listy dozwolonych adresów IP, segmentację oraz dedykowane stacje uprzywilejowane.

W praktyce sama aktualizacja oprogramowania może nie wystarczyć. Konieczna może być również rotacja haseł oraz wymuszenie ponownego logowania, aby upewnić się, że wszystkie konta korzystają z aktualnego mechanizmu ochrony poświadczeń.

Podsumowanie

FortiBleed pokazuje, że nawet bez nowej publicznie opisanej luki organizacje mogą paść ofiarą skutecznej kampanii opartej na słabych hasłach, recyklingu poświadczeń i niewłaściwie zabezpieczonych urządzeniach brzegowych. Ostrzeżenie CISA podkreśla, że problem ma charakter operacyjny i wymaga natychmiastowych działań po stronie administratorów Fortinet.

Najważniejsze wnioski są trzy: urządzenia FortiGate dostępne z internetu należy traktować jako zasoby wysokiego ryzyka, rotacja haseł i MFA są dziś absolutnym minimum, a aktualizacja FortiOS powinna iść w parze z weryfikacją sposobu przechowywania poświadczeń oraz pełnym przeglądem logów i konfiguracji.

Źródła

  1. The Hacker News — CISA Warns Fortinet Customers as FortiBleed Hits 86,644 FortiGate Devices — https://thehackernews.com/2026/06/cisa-warns-fortinet-customers-as.html
  2. CISA — Cybersecurity Alerts & Advisories — https://www.cisa.gov/news-events/cybersecurity-advisories
  3. Fortinet Community — PBKDF2 overview for administrator credential storage — https://community.fortinet.com/
  4. NCSC — Guidance and threat reporting on internet-facing network devices — https://www.ncsc.gov.uk/
  5. SOCRadar — Research related to FortiBleed exposure and credential analysis — https://socradar.io/