FortiBleed: ujawnione dane logowania do Fortinet pokazują, jak działają brokerzy dostępu - Security Bez Tabu

FortiBleed: ujawnione dane logowania do Fortinet pokazują, jak działają brokerzy dostępu

Cybersecurity news

Wprowadzenie do problemu / definicja

FortiBleed to nazwa kampanii ujawnionej w czerwcu 2026 roku, która objęła publicznie dostępne urządzenia Fortinet, w tym zapory FortiGate i usługi SSL VPN. Nie chodzi w tym przypadku o pojedynczą lukę typu zero-day ani nową podatność oznaczoną numerem CVE, ale o masowe pozyskiwanie, testowanie i katalogowanie danych uwierzytelniających służących do dostępu do systemów brzegowych.

Incydent zwraca uwagę na rosnące znaczenie ataków opartych na poświadczeniach. W praktyce oznacza to, że nawet poprawnie załatane urządzenia mogą stać się punktem wejścia do środowiska, jeśli napastnicy dysponują działającym loginem i hasłem.

W skrócie

Badacze ujawnili niezabezpieczony serwer zawierający działające dane logowania do dziesiątek tysięcy urządzeń Fortinet. Skala operacji była bardzo duża i objęła 73 932 adresy URL, 21 632 organizacje oraz 194 kraje.

Zgromadzone materiały wskazywały, że nie był to przypadkowy wyciek, lecz zaplecze aktywnej działalności brokerskiej. W danych znajdowały się katalogi ofiar, logi walidacji dostępu, segmentacja firm według wartości biznesowej oraz narzędzia do masowego testowania poświadczeń.

  • 73 932 adresy URL urządzeń Fortinet i VPN
  • 21 632 organizacje objęte ekspozycją
  • 194 kraje w zasięgu kampanii
  • model działania typowy dla initial access broker

Kontekst / historia

Sprawa została nagłośniona po odkryciu niezabezpieczonego serwera przez badacza Volodymyra „Boba” Diachenkę w połowie czerwca 2026 roku. Analiza ujawnionych zasobów pokazała, że operatorzy prowadzili kampanię od dłuższego czasu i rozwijali infrastrukturę służącą do systematycznego pozyskiwania wartościowych dostępów.

To istotne rozróżnienie, ponieważ FortiBleed nie oznacza jednej uniwersalnej techniki przełamania wszystkich urządzeń Fortinet. Znaczna część działań miała opierać się na wykorzystaniu poświadczeń pochodzących z wcześniejszych wycieków, infostealerów, brute force oraz na późniejszym sprawdzaniu, które konta nadal pozostają aktywne.

Taki model doskonale wpisuje się w realia współczesnej cyberprzestępczości. Brokerzy dostępu nie muszą sami prowadzić końcowego ataku. Ich rolą jest zdobycie i uporządkowanie dostępu do sieci, a następnie jego odsprzedaż innym grupom, w tym operatorom ransomware.

Analiza techniczna

Z technicznego punktu widzenia operacja przypominała zorganizowany łańcuch produkcyjny. Infrastruktura używana przez napastników miała umożliwiać zarówno automatyczne testowanie loginów i haseł, jak i walidację wcześniej pozyskanych danych uwierzytelniających.

Według opisu kampanii wykorzystywano zautomatyzowany serwer do masowych prób logowania wobec urządzeń Fortinet dostępnych z Internetu. Skala miała sięgać ponad miliarda prób uwierzytelnienia z użyciem rotujących adresów pośredniczących, co utrudniało blokowanie źródeł ruchu i przypisanie działań do jednego operatora.

Część poświadczeń mogła pochodzić z wcześniejszych incydentów bezpieczeństwa, złośliwego oprogramowania kradnącego dane lub z praktyki ponownego używania haseł. Następnie napastnicy sprawdzali, które kombinacje loginów i haseł nadal działają w środowiskach Fortinet. To szczególnie niebezpieczne dla organizacji, w których administratorzy stosują te same hasła w wielu systemach.

Analiza wskazywała również na wykorzystanie środowiska crackingowego z akceleracją GPU do łamania wybranych materiałów kryptograficznych offline. Oznacza to, że część procesu mogła obejmować odzyskiwanie haseł na podstawie wcześniej zdobytych danych, co dodatkowo zwiększa skuteczność całej operacji.

W ujawnionych zestawieniach organizacje miały być klasyfikowane według nazwy, sektora, liczby pracowników i przychodów. Takie podejście pokazuje, że celem nie było tylko techniczne przełamanie zabezpieczeń, ale zbudowanie katalogu dostępów o konkretnej wartości rynkowej.

Dodatkowym elementem była częściowa automatyzacja wspierana narzędziami AI. To kolejny sygnał, że cyberprzestępcy coraz częściej obniżają koszt i próg wejścia w złożone operacje, wykorzystując półautomatyczne workflow do skalowania ataków na dużą liczbę celów.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem FortiBleed jest możliwość przejęcia dostępu administracyjnego lub VPN do infrastruktury organizacji. Jeśli napastnik zaloguje się przy użyciu prawidłowych poświadczeń, może poruszać się po środowisku w sposób znacznie trudniejszy do wykrycia niż w przypadku klasycznego exploita.

Taki dostęp może prowadzić do szeregu dalszych działań ofensywnych:

  • rekonesansu sieci wewnętrznej,
  • eskalacji uprawnień,
  • kradzieży danych,
  • utrwalania obecności w środowisku,
  • wdrożenia ransomware,
  • wykorzystania urządzeń brzegowych jako punktu pivot do kolejnych ataków.

Szczególnie niebezpieczne jest to, że chodzi o urządzenia znajdujące się na granicy sieci, których zadaniem jest ochrona organizacji przed nieautoryzowanym dostępem. Jeśli jednak panel administracyjny lub usługa VPN są publicznie dostępne, a poświadczenia zostały skompromitowane, napastnik może ominąć część klasycznych mechanizmów obronnych.

Dla zespołów SOC dodatkowym problemem jest detekcja. Logowania wykonane przy użyciu poprawnych danych nie zawsze generują alarmy wysokiego priorytetu. Co więcej, między momentem zdobycia poświadczeń a ich wykorzystaniem przez końcowego nabywcę dostępu mogą minąć dni, tygodnie, a nawet miesiące.

Rekomendacje

Organizacje korzystające z FortiGate i Fortinet SSL VPN powinny potraktować FortiBleed jako sygnał do pilnego przeglądu ekspozycji usług oraz bezpieczeństwa tożsamości uprzywilejowanych.

  • Wycofanie interfejsów administracyjnych z publicznego Internetu – zarządzanie urządzeniami powinno odbywać się wyłącznie przez wydzielone sieci administracyjne, bastiony lub rozwiązania ZTNA.
  • Wymuszenie MFA – wieloskładnikowe uwierzytelnianie dla kont administracyjnych i dostępu VPN znacząco ogranicza skuteczność wykorzystania przejętych poświadczeń.
  • Natychmiastowa rotacja haseł i sekretów – należy zmienić hasła administratorów, użytkowników VPN, kont serwisowych oraz innych danych uwierzytelniających powiązanych z urządzeniami.
  • Przegląd logów – warto szukać nietypowych adresów źródłowych, nietypowych godzin logowania, nowych kont administracyjnych i zmian konfiguracji.
  • Audyt ekspozycji usług brzegowych – organizacja powinna ustalić, które usługi Fortinet są osiągalne z Internetu i czy są rzeczywiście niezbędne.
  • Weryfikacja reuse haseł – konieczne jest sprawdzenie, czy konta administracyjne nie używają haseł występujących we wcześniejszych wyciekach.
  • Segmentacja dostępu po VPN – użytkownik po zalogowaniu nie powinien otrzymywać szerokiego dostępu do całego środowiska.
  • Hardenizacja i aktualizacje – mimo że kampania nie opiera się na jednej luce, aktualne oprogramowanie i wyłączenie zbędnych usług nadal ograniczają powierzchnię ataku.

Podsumowanie

FortiBleed pokazuje, że współczesne zagrożenia dla urządzeń brzegowych nie muszą opierać się wyłącznie na nowych podatnościach. Równie poważnym problemem jest przemysłowe wykorzystywanie przejętych lub ponownie użytych poświadczeń, szczególnie wtedy, gdy interfejsy administracyjne i usługi VPN pozostają dostępne publicznie.

Ujawnienie danych dotyczących 73 932 adresów URL Fortinet daje rzadki wgląd w model operacyjny brokerów dostępu, którzy traktują kompromitację infrastruktury jak skalowalny produkt. Dla obrońców kluczowy wniosek jest prosty: samo łatane systemów nie wystarczy, jeśli nie towarzyszą temu MFA, ograniczenie ekspozycji, rotacja sekretów i ścisła kontrola dostępu uprzywilejowanego.

Źródła

  1. FortiBleed: The Broker Who Turned 73,000 Firewalls Into a Product Catalog — https://securityaffairs.com/194132/cyber-crime/fortibleed-the-broker-who-turned-73000-firewalls-into-a-product-catalog.html
  2. Fortinet firewalls hit by huge password-stealing attack – around 75,000 users possibly affected — https://www.techradar.com/pro/security/fortinet-firewalls-hit-by-huge-password-stealing-attack-around-75-000-users-possibly-affected
  3. FortiBleed: What the Fortinet Firewall Credential Campaign Means for SMBs in Canada and the US — https://cyberunit.com/insights/fortibleed-fortinet-firewall-vpn-credential-attack/
  4. Alerta: Campaña FortiBleed compromete credenciales de dispositivos Fortinet expuestos a Internet — https://www.ecucert.gob.ec/wp-content/uploads/2026/06/Al-2026-034-Campana-FortiBleed-compromete-credenciales-de-dispositivos-Fortinet-expuestos-a-Internet.pdf