Агентство по кибербезопасности и защите инфраструктуры США (CISA) призвало владельцев устройств FortiGate срочно сменить учетные данные и усилить защиту. По обновленным данным, кампания FortiBleed затронула 86 644 брандмауэра и VPN-шлюза в 194 странах мира. Скомпрометирована примерно половина всей доступной в интернете инфраструктуры Fortinet.
На прошлой неделе ИБ-специалист Боб Дьяченко (Bob Diachenko) обнаружил в сети открытый сервер с базой данных, в которой содержались URL-адреса десятков тысяч устройств FortiGate и Fortinet VPN, логины, email-адреса и пароли в открытом виде.
Изначально исследователи сообщали примерно о 73 000 скомпрометированных устройств, однако позднее специалисты SOCRadar увеличили оценку до 86 644. По данным специалистов, 35% записей в обнаруженном дампе относятся к типовым административным аккаунтам, еще 28,3% — к встроенным системным учетным записям Fortinet. Оставшиеся 36,7% связаны с аккаунтами, созданными самими организациями. Исследователи считают, что многие владельцы устройств не меняли дефолтные логины и пароли или продолжали использовать учетные данные, ранее скомпрометированные в результате других утечек.
Больше всего от FortiBleed пострадали телеком-компании, госучреждения и образовательные организации. Наибольшее количество скомпрометированных устройств было обнаружено в Индии, США, Мексике, Колумбии и Таиланде.
Исследователи полагают, что атакующие массово сканировали интернет в поисках интерфейсов удаленного входа Fortinet, а затем автоматически перебирали известные комбинации логинов и паролей. После успешного взлома злоумышленники получали возможность перехватывать проходящий через устройство трафик и собирать новые учетные данные для дальнейших атак.
По оценке Боба Дьяченко, за этой операцией, вероятно, стоит русскоязычная хак-группа. Исследователь сообщал, что злоумышленники выполнили около 1,16 млрд попыток входа против более чем 320 000 систем FortiGate. Для взлома перехваченных хешей использовался кластер из 45 GPU под управлением Hashtopolis, а затем полученные доступы применялись для проникновения во внутренние среды Active Directory.
Специалисты компании Huntress сопоставили опубликованные IP-адреса со своей телеметрией и выявили 845 пострадавших партнерских организаций. Известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) и эксперты компании Hudson Rock также проверили часть базы и подтвердили, что многие учетные данные по-прежнему остаются рабочими, а устройства подключены к сети.
При этом представители Fortinet заявили, что обнаруженная база, вероятно, объединяет информацию, собранную в ходе прошлых инцидентов, а также результаты брутфорс-атак. Подчеркивается, что утечка не связана с какой-либо новой уязвимостью, но в компании упоминают, что для сбора учетных данных могли использоваться проблемы CVE-2026-24858, CVE-2025-59718 и CVE-2025-59719.
