FortiBleed: aktywne wykorzystanie wycieku poświadczeń Fortinet zagraża tysiącom urządzeń - Security Bez Tabu

FortiBleed: aktywne wykorzystanie wycieku poświadczeń Fortinet zagraża tysiącom urządzeń

Cybersecurity news

Wprowadzenie do problemu / definicja

FortiBleed to nazwa incydentu bezpieczeństwa związanego z masowym wyciekiem danych uwierzytelniających dotyczących urządzeń Fortinet, przede wszystkim zapór FortiGate oraz bram SSL VPN. Skala i charakter ujawnionych danych sprawiają, że zagrożenie wykracza poza klasyczny problem słabych haseł i może oznaczać realne ryzyko przejęcia infrastruktury brzegowej organizacji.

Najpoważniejszy aspekt sprawy polega na tym, że ujawnione informacje mogą umożliwić zdalny, nieautoryzowany dostęp do systemów wystawionych do internetu. W praktyce takie urządzenia bardzo często stanowią pierwszy punkt wejścia do sieci firmowej, dlatego ich kompromitacja może otworzyć drogę do dalszych działań napastnika.

W skrócie

Amerykańska agencja CISA ostrzegła 18 czerwca 2026 roku, że cyberprzestępcy aktywnie wykorzystują ujawnione poświadczenia powiązane z około 74 tys. urządzeń Fortinet dostępnych z internetu. Publiczne analizy wskazują, że zestaw danych obejmuje nazwy użytkowników, adresy e-mail, hasła oraz informacje sugerujące pochodzenie z eksportów konfiguracji.

  • zagrożenie ma charakter globalny,
  • dotyczy zarówno sektora publicznego, jak i prywatnego,
  • część danych mogła pozostawać aktualna w momencie ujawnienia,
  • atakujący już próbują wykorzystywać wyciek operacyjnie.

Kontekst / historia

Incydent zyskał rozgłos po wykryciu otwartego zasobu sieciowego zawierającego dane wyglądające na aktualne poświadczenia do urządzeń Fortinet. Niezależni badacze bezpieczeństwa ocenili, że nie był to przypadkowy zbiór historycznych haseł, lecz uporządkowany zestaw danych mogących posłużyć do uzyskania dostępu do środowisk ofiar.

To ważne rozróżnienie, ponieważ wcześniejsze wycieki w wielu przypadkach zawierały dane już nieaktualne lub częściowo bezużyteczne. W przypadku FortiBleed problem wydaje się znacznie bardziej praktyczny z punktu widzenia przestępców: dane mogą zostać wykorzystane do szybkiej weryfikacji logowania, przejęcia urządzeń i odsprzedaży dostępu innym grupom, w tym operatorom ransomware.

Analiza techniczna

Z technicznego punktu widzenia FortiBleed jest szczególnie groźny, jeśli źródłem danych rzeczywiście były pliki konfiguracyjne urządzeń. Taki scenariusz oznacza, że wyciek mógł obejmować nie tylko loginy i hasła, ale również informacje o ustawieniach administracyjnych, parametrach VPN, interfejsach zarządzania czy politykach bezpieczeństwa.

Publiczne analizy wskazują również na możliwość pozyskiwania i łamania skrótów uwierzytelniających związanych z SSL VPN. W praktyce taki model działania może obejmować automatyczne zbieranie danych, ich przetwarzanie z użyciem wydajnej infrastruktury obliczeniowej oraz późniejsze testowanie odzyskanych haseł na dużą skalę.

Istotny pozostaje także temat zmian w FortiOS. Fortinet wdrożył silniejsze podejście do ochrony haseł administratorów z użyciem PBKDF2 w nowszych wersjach systemu, w tym od gałęzi 7.2.11, 7.4.8 i 7.6.1. Samo zaktualizowanie firmware nie musi jednak oznaczać automatycznej migracji wszystkich istniejących zapisów haseł do nowszego formatu. W części środowisk konieczne jest ponowne logowanie administratora, aby wymusić zapis poświadczenia w silniejszym schemacie.

Jeżeli interfejs administracyjny lub SSL VPN był publicznie dostępny, napastnicy mogli automatycznie sprawdzać poprawność poświadczeń, uzyskać dostęp do urządzenia i następnie wykonać kolejne działania. Mogło to obejmować modyfikację konfiguracji, dodanie nowych kont administracyjnych, zmianę polityk bezpieczeństwa albo utworzenie trwałych mechanizmów dostępu.

Konsekwencje / ryzyko

Ryzyko związane z FortiBleed należy ocenić jako wysokie. Urządzenia Fortinet często pełnią rolę krytycznych punktów styku z internetem, a ich skuteczne przejęcie może umożliwić wejście do środowiska wewnętrznego z pominięciem części tradycyjnych zabezpieczeń.

  • przejęcie dostępu do sieci korporacyjnej,
  • naruszenie poufności danych,
  • utrata integralności konfiguracji bezpieczeństwa,
  • przygotowanie środowiska pod ransomware,
  • długotrwała i trudna do wykrycia obecność napastnika.

Szczególnie niebezpieczne jest ograniczenie reakcji wyłącznie do zmiany haseł. Jeśli atakujący wcześniej zmodyfikował konfigurację, wdrożył ukryte konto administracyjne albo zmienił reguły dostępu, sama rotacja poświadczeń może nie wystarczyć do odzyskania pełnej kontroli nad środowiskiem.

Rekomendacje

Organizacje korzystające z FortiGate i innych rozwiązań Fortinet powinny potraktować ten incydent jak potencjalne naruszenie bezpieczeństwa, a nie wyłącznie problem związany z higieną haseł.

  • natychmiast zakończyć aktywne sesje administracyjne i sesje SSL VPN,
  • zresetować hasła administratorów oraz kont VPN powiązanych z urządzeniami,
  • włączyć silne uwierzytelnianie wieloskładnikowe dla administracji i dostępu zdalnego,
  • zaktualizować FortiOS do najnowszej wspieranej wersji,
  • dopilnować ponownego logowania administratorów po aktualizacji, jeśli jest to wymagane do migracji haseł,
  • usunąć publiczną ekspozycję interfejsów zarządzających, jeśli nie jest absolutnie konieczna,
  • przejrzeć konfigurację pod kątem nieautoryzowanych kont i podejrzanych zmian,
  • zweryfikować logi pod kątem nietypowych logowań i zmian administracyjnych,
  • rozważyć pełną odbudowę urządzenia, jeśli istnieją oznaki kompromitacji,
  • zabezpieczyć kopie konfiguracji i ograniczyć do nich dostęp,
  • przeprowadzić threat hunting w sieci wewnętrznej.

Podsumowanie

FortiBleed to incydent o bardzo dużym znaczeniu operacyjnym dla zespołów bezpieczeństwa. Problem nie sprowadza się wyłącznie do wycieku poświadczeń, lecz obejmuje realne ryzyko przejęcia urządzeń brzegowych, które stanowią zaufany element infrastruktury organizacji.

Połączenie aktywnej eksploatacji, szerokiego zasięgu oraz możliwego pochodzenia danych z eksportów konfiguracji sprawia, że reakcja powinna obejmować zarówno natychmiastową rotację poświadczeń, jak i pełną ocenę integralności urządzeń oraz potencjalnej obecności napastnika w środowisku.

Źródła

  1. Security Affairs – CISA Warns of Active Exploitation Following FortiBleed Leak
    https://securityaffairs.com/193902/hacking/cisa-warns-of-active-exploitation-following-fortibleed-leak.html
  2. Fortinet Document Library – Enhanced administrator password security 7.2.11
    https://docs.fortinet.com/document/fortigate/7.2.0/new-features/548023/enhanced-administrator-password-security-7-2-11
  3. Fortinet Community – Technical Tip: Enforcing PBKDF2 as hash function for administrator accounts in FortiOS v7.2.11 and later
    https://community.fortinet.com/t5/FortiGate/Technical-Tip-Enforcing-PBKDF2-as-hash-function-for-administrator/ta-p/424308
  4. FortiGate / FortiOS Release Notes – Admin access lockout risk when upgrading or downgrading from versions with PBKDF2 support
    https://docs.fortinet.com/document/fortigate/7.2.11/fortios-release-notes/913725/admin-access-lockout-risk-when-upgrading-or-downgrading-from-versions-with-pbkdf2-support
  5. FortiGate Best Practices – Hardening
    https://docs.fortinet.com/document/fortigate/7.6.0/best-practices/555436