AbejaIT AbejaIT

FortiBleed – 110 mln poświadczeń z 430 tys. FortiGate, co robić z firewallami Fortinet

04.07.2026

Kampania FortiBleed, przypisywana rosyjskojęzycznemu brokerowi dostępu początkowego, doprowadziła do wycieku ponad 110 milionów danych uwierzytelniających z ponad 430 000 urządzeń FortiGate na całym świecie. Operacja aktywna od lutego 2026 roku łączy skanowanie ekspozycji, ataki brute-force oraz dedykowane narzędzia do zbierania credentials. Organizacje korzystające z firewalli Fortinet powinny niezwłocznie zweryfikować konfiguracje dostępu i wdrożyć wieloskładnikowe uwierzytelnianie.

Kampania FortiBleed, przypisywana rosyjskojęzycznemu brokerowi początkowego dostępu (IAB), doprowadziła do zebrania ponad 110 milionów poświadczeń z ponad 430 000 urządzeń FortiGate na całym świecie. Operacja trwa od lutego 2026 roku i łączy masowe skanowanie internetu pod kątem ekspozycji interfejsów administracyjnych, ataki brute-force oraz dedykowane narzędzia do harvestingu credentials. Dla polskich firm B2B korzystających z FortiGate jako granicy sieci, incydent wymaga natychmiastowej weryfikacji konfiguracji i rotacji haseł administracyjnych.

Dlaczego firewalle są celem IAB

FortiGate często stanowi jedyny punkt wejścia do sieci korporacyjnej z internetu. Kompromitacja konta administracyjnego firewalla daje atakującemu: modyfikację reguł (otwarcie backdoor VPN), przechwytywanie ruchu, instalację złośliwych polityk i pivot do wszystkich segmentów za firewallem. IAB sprzedaje taki dostęp grupom ransomware – stąd masowa kampania skanowania i brute-force na skalę 430 tysięcy urządzeń.

Wiele urządzeń było ekspozycjonowanych z domyślnymi lub słabymi hasłami admin, włączonym dostępem HTTPS z internetu i bez MFA. FortiBleed to nie zero-day – to konsekwencja lat zaniedbań w hardeningu urządzeń brzegowych.

Checklist hardening FortiGate

  • MFA – włącz wieloskładnikowe uwierzytelnianie na wszystkich kontach admin.
  • Brak admin z internetu – dostęp tylko przez VPN lub jump host w DMZ.
  • Silne hasła – rotacja i unikalność; nigdy domyślne fabryczne.
  • FortiOS aktualny – patch wszystkich znanych CVE (w tym historycznych).
  • Logging – forward logów do SIEM; alerty na failed login bursts.

Reagowanie po potencjalnej kompromitacji

Jeśli wasz FortiGate mógł być celem: natychmiast zmień hasła admin i konta VPN, przejrzyj reguły firewall pod kątem nieautoryzowanych wpisów (allow any, nowe VIP, SSL-VPN users), porównaj konfigurację z backupem znanego dobrego stanu i rotuj klucze IPsec/SSL VPN. Threat hunt w sieci wewnętrznej – atakujący z dostępem do FortiGate mógł już pivotować dalej.

Sprawdź, czy poświadczenia admin FortiGate nie pojawiły się w monitoringu wycieków (Have I Been Pwned, vendor credential monitoring). Zakładaj assume breach dla urządzeń z ekspozycją admin na internet w ostatnich miesiącach.

Architektura Zero Trust dla urządzeń brzegowych

Administration plane firewalla powinien być całkowicie odseparowany od data plane. Użyj out-of-band management network, disable admin na WAN interface, włącz trusted hosts. Dla organizacji wielooddziałowych – centralne FortiManager z RBAC i audit logging.

W ramach infrastruktury IT przeprowadzamy audyty konfiguracji FortiGate, wdrożenia MFA i segmentacji. Integracja z SIEM zapewnia wczesną detekcję brute-force zanim IAB sprzeda dostęp.

Współdzielone polityki Fortinet w organizacjach wielooddziałowych

Firmy z wieloma FortiGate powinny centralizować polityki przez FortiManager – jednokrotna aktualizacja MFA policy i admin access restrictions propaguje się na całą flotę. FortiAnalyzer agreguje logi z wszystkich urządzeń, umożliwiając detekcję brute-force kampanii FortiBleed skierowanej na wiele oddziałów jednocześnie. Bez centralizacji każdy oddział może mieć inną ekspozycję admin – jak w statystyce 430 tysięcy urządzeń.

Rotacja haseł admin powinna być zsynchronizowana z rotacją kont VPN użytkowników – skompromitowany FortiGate często służy do harvestingu credentials użytkowników remote access.

Threat intelligence a FortiBleed

Organizacje powinny subskrybować FortiGuard threat intelligence i feedy IoC związane z FortiBleed – hash atakujących skryptów, IP C2, wzorce brute-force. Blokada na poziomie firewalla i proxy przed dotarciem do interfejsu admin FortiGate zmniejsza liczbę prób. Wymiana IoC z ISAC branżowym i CSIRT NASK przyspiesza kolaboracyjną obronę.

Po rotacji haseł admin przeprowadź test penetracyjny interfejsu FortiGate z internetu – zewnętrzny audyt często ujawnia ekspozycję, której wewnętrzny skan nie wykrył z powodu split tunnel lub VPN.

FortiGate w modelu HA (High Availability) wymaga patchowania obu węzłów w sekwencji zgodnej z dokumentacją Fortinet – błędna procedura może spowodować split-brain lub utratę łączności WAN podczas remediacji po FortiBleed. Przetestuj procedurę patch HA w labie przed produkcją.

Wymagaj od użytkowników VPN silnych haseł i MFA – FortiBleed harvestował credentials użytkowników remote access; nawet po hardeningu admin, skompromitowane konta użytkowników pozostają wektorem.

Dodaj FortiGate do programu bug bounty wewnętrznego – nagradzaj pracowników za zgłoszenie ekspozycji admin UI i słabych konfiguracji przed atakującymi z kampanii FortiBleed.

Włącz alerty SIEM na >10 failed login/min na interfejsie SSL-VPN FortiGate – wczesny sygnał brute-force kampanii FortiBleed.

Zastosuj geo-blocking na admin HTTPS FortiGate – dostęp tylko z kraju siedziby organizacji ogranicza masowe skanowanie z zagranicznych botnetów.

Przeprowadź test odtwarzania konfiguracji FortiGate z backupu offline – po incydencie FortiBleed szybki restore znanej dobrej konfiguracji skraca czas powrotu do operacji.

Podsumowanie

FortiBleed to masowy harvesting poświadczeń z FortiGate – głównie przez słabe konfiguracje, nie zero-day. MFA, brak admin z internetu i patch FortiOS to must-have. Zapraszamy do audytu w ramach usług IT dla firm.

Źródło: The Hacker News – FortiBleed Targeted FortiGate Firewalls in 110 Million-Credential Harvesting Operation