Kampania FortiBleed, przypisywana rosyjskojęzycznemu brokerowi początkowego dostępu (IAB), doprowadziła do zebrania ponad 110 milionów poświadczeń z ponad 430 000 urządzeń FortiGate na całym świecie. Operacja trwa od lutego 2026 roku i łączy masowe skanowanie internetu pod kątem ekspozycji interfejsów administracyjnych, ataki brute-force oraz dedykowane narzędzia do harvestingu credentials. Dla polskich firm B2B korzystających z FortiGate jako granicy sieci, incydent wymaga natychmiastowej weryfikacji konfiguracji i rotacji haseł administracyjnych.
Dlaczego firewalle są celem IAB
FortiGate często stanowi jedyny punkt wejścia do sieci korporacyjnej z internetu. Kompromitacja konta administracyjnego firewalla daje atakującemu: modyfikację reguł (otwarcie backdoor VPN), przechwytywanie ruchu, instalację złośliwych polityk i pivot do wszystkich segmentów za firewallem. IAB sprzedaje taki dostęp grupom ransomware – stąd masowa kampania skanowania i brute-force na skalę 430 tysięcy urządzeń.
Wiele urządzeń było ekspozycjonowanych z domyślnymi lub słabymi hasłami admin, włączonym dostępem HTTPS z internetu i bez MFA. FortiBleed to nie zero-day – to konsekwencja lat zaniedbań w hardeningu urządzeń brzegowych.
Checklist hardening FortiGate
- MFA – włącz wieloskładnikowe uwierzytelnianie na wszystkich kontach admin.
- Brak admin z internetu – dostęp tylko przez VPN lub jump host w DMZ.
- Silne hasła – rotacja i unikalność; nigdy domyślne fabryczne.
- FortiOS aktualny – patch wszystkich znanych CVE (w tym historycznych).
- Logging – forward logów do SIEM; alerty na failed login bursts.
Reagowanie po potencjalnej kompromitacji
Jeśli wasz FortiGate mógł być celem: natychmiast zmień hasła admin i konta VPN, przejrzyj reguły firewall pod kątem nieautoryzowanych wpisów (allow any, nowe VIP, SSL-VPN users), porównaj konfigurację z backupem znanego dobrego stanu i rotuj klucze IPsec/SSL VPN. Threat hunt w sieci wewnętrznej – atakujący z dostępem do FortiGate mógł już pivotować dalej.
Sprawdź, czy poświadczenia admin FortiGate nie pojawiły się w monitoringu wycieków (Have I Been Pwned, vendor credential monitoring). Zakładaj assume breach dla urządzeń z ekspozycją admin na internet w ostatnich miesiącach.
Architektura Zero Trust dla urządzeń brzegowych
Administration plane firewalla powinien być całkowicie odseparowany od data plane. Użyj out-of-band management network, disable admin na WAN interface, włącz trusted hosts. Dla organizacji wielooddziałowych – centralne FortiManager z RBAC i audit logging.
W ramach infrastruktury IT przeprowadzamy audyty konfiguracji FortiGate, wdrożenia MFA i segmentacji. Integracja z SIEM zapewnia wczesną detekcję brute-force zanim IAB sprzeda dostęp.
Współdzielone polityki Fortinet w organizacjach wielooddziałowych
Firmy z wieloma FortiGate powinny centralizować polityki przez FortiManager – jednokrotna aktualizacja MFA policy i admin access restrictions propaguje się na całą flotę. FortiAnalyzer agreguje logi z wszystkich urządzeń, umożliwiając detekcję brute-force kampanii FortiBleed skierowanej na wiele oddziałów jednocześnie. Bez centralizacji każdy oddział może mieć inną ekspozycję admin – jak w statystyce 430 tysięcy urządzeń.
Rotacja haseł admin powinna być zsynchronizowana z rotacją kont VPN użytkowników – skompromitowany FortiGate często służy do harvestingu credentials użytkowników remote access.
Threat intelligence a FortiBleed
Organizacje powinny subskrybować FortiGuard threat intelligence i feedy IoC związane z FortiBleed – hash atakujących skryptów, IP C2, wzorce brute-force. Blokada na poziomie firewalla i proxy przed dotarciem do interfejsu admin FortiGate zmniejsza liczbę prób. Wymiana IoC z ISAC branżowym i CSIRT NASK przyspiesza kolaboracyjną obronę.
Po rotacji haseł admin przeprowadź test penetracyjny interfejsu FortiGate z internetu – zewnętrzny audyt często ujawnia ekspozycję, której wewnętrzny skan nie wykrył z powodu split tunnel lub VPN.
FortiGate w modelu HA (High Availability) wymaga patchowania obu węzłów w sekwencji zgodnej z dokumentacją Fortinet – błędna procedura może spowodować split-brain lub utratę łączności WAN podczas remediacji po FortiBleed. Przetestuj procedurę patch HA w labie przed produkcją.
Wymagaj od użytkowników VPN silnych haseł i MFA – FortiBleed harvestował credentials użytkowników remote access; nawet po hardeningu admin, skompromitowane konta użytkowników pozostają wektorem.
Dodaj FortiGate do programu bug bounty wewnętrznego – nagradzaj pracowników za zgłoszenie ekspozycji admin UI i słabych konfiguracji przed atakującymi z kampanii FortiBleed.
Włącz alerty SIEM na >10 failed login/min na interfejsie SSL-VPN FortiGate – wczesny sygnał brute-force kampanii FortiBleed.
Zastosuj geo-blocking na admin HTTPS FortiGate – dostęp tylko z kraju siedziby organizacji ogranicza masowe skanowanie z zagranicznych botnetów.
Przeprowadź test odtwarzania konfiguracji FortiGate z backupu offline – po incydencie FortiBleed szybki restore znanej dobrej konfiguracji skraca czas powrotu do operacji.
Podsumowanie
FortiBleed to masowy harvesting poświadczeń z FortiGate – głównie przez słabe konfiguracje, nie zero-day. MFA, brak admin z internetu i patch FortiOS to must-have. Zapraszamy do audytu w ramach usług IT dla firm.