'FortiBleed': 75,000 inicios de sesión de firewalls Fortinet expuestos

      Los investigadores de seguridad han descubierto un extenso conjunto de credenciales robadas para cortafuegos de Fortinet, exponiendo detalles de inicio de sesión de decenas de miles de organizaciones en todo el mundo.

      El conjunto de datos, denominado "FortiBleed", contiene nombres de usuario, correos electrónicos y contraseñas en texto plano para 73,932 dispositivos únicos de cortafuegos y VPN Fortinet FortiGate en 194 países, tocando más de 21,000 dominios. Los investigadores estiman que eso representa aproximadamente la mitad de todos los cortafuegos de Fortinet actualmente expuestos a Internet.

      Los nombres que aparecen en los datos son como una lista de asistencia de la industria global: Oracle, Chevron, Lenovo, FedEx, Foxconn, Samsung, Comcast, Siemens, PwC y Accenture entre ellos, junto a un contratista de defensa de la OTAN. Según Ars Technica, Fortinet en sí aparece en la lista.

      No hay un deslumbrante día cero, solo un cracking industrial de contraseñas

      Una parte instructiva de FortiBleed es lo que no involucró: no hay señales de un nuevo fallo deslumbrante en el software de Fortinet.

      En cambio, los investigadores dicen que los atacantes escanearon Internet en busca de dispositivos Fortinet, probaron una lista curada de contraseñas ya conocidas y previamente filtradas contra cada uno, y registraron cada inicio de sesión que funcionó.

      Lo que les faltó en novedad lo compensaron en escala. El grupo roció cientos de miles de puntos finales de inicio de sesión, interceptó hashes de autenticación de VPN y los descifró en un clúster dedicado de 45 GPU, realizando más de mil millones de intentos de credenciales. "La escala es la sofisticación", dijo el investigador Bob Diachenko a Ars Technica.

      Una vez dentro de un dispositivo, lo utilizaron como un puesto de escucha, observando el tráfico que pasaba y recogiendo cualquier credencial nueva que fluyera. Un cortafuegos, la cosa destinada a mantener a los intrusos fuera, se convirtió en el lugar desde el cual observaron.

      Diachenko, quien encontró los datos en el servidor de los atacantes, atribuye la campaña a un grupo de habla rusa. Las firmas de seguridad SOCRadar y Hudson Rock analizaron el botín, y el investigador Kevin Beaumont confirmó de manera independiente que los inicios de sesión son reales y actuales. Cómo se obtuvieron las credenciales por primera vez, probablemente de archivos de configuración de FortiGate exportados, sigue sin estar claro.

      Lo que significa y lo que no

      Una advertencia importante: las credenciales expuestas no son lo mismo que una red completamente violada. La filtración muestra qué puertas podrían abrirse, no que cada organización detrás de ellas fue comprometida.

      El daño no es solo teórico, sin embargo. Diachenko dice que al menos cuatro organizaciones fueron completamente comprometidas, incluyendo un contratista de defensa de la OTAN turco del cual se robaron documentos clasificados.

      Fortinet disputa el marco. Dijo a los reporteros que los datos son "una re-compartición de datos de incidentes anteriores, así como un ataque de fuerza bruta a credenciales", y "no están relacionados con ningún incidente o aviso reciente". Los investigadores contraargumentan que los dispositivos afectados difieren de los de una filtración conocida de Fortinet en 2025, y que muchos ejecutan software reciente, lo que apunta a un botín actual.

      También se sitúa junto a un patrón más amplio. Los dispositivos de VPN y cortafuegos se han convertido en un objetivo favorito, con grupos como Qilin abusando repetidamente del equipo de VPN corporativo para acceso inicial.

      La solución también es poco glamorosa. Los investigadores instan a los usuarios de Fortinet a rotar las contraseñas de administrador y VPN de FortiGate, hacer cumplir la autenticación multifactor en todo acceso externo, bloquear las interfaces de gestión a rangos de IP de confianza, revisar los registros en busca de inicios de sesión sospechosos y eliminar cuentas inactivas.

      Si una sola contraseña reutilizada puede abrir la puerta principal, ningún cortafuegos te va a salvar.

Otros artículos

Tesco está migrando 40,000 servidores de VMware y está demandando a Broadcom por más de 100 millones de GBP. Tesco dice que Broadcom aumentó los precios de VMware un 175% y eliminó el soporte para licencias perpetuas. Está migrando 40,000 servidores y demandando por "conducta abusiva."

NeuralTrust recauda $20 millones para asegurar agentes de IA empresarial NeuralTrust de Barcelona recaudó $20 millones en una ronda semilla para controlar la 'expansión de agentes' en las empresas y para vender a bancos y gobiernos europeos una opción de seguridad que no sea americana.

SpaceX añade a Roelof Botha de Sequoia a su junta directiva SpaceX nombró a Roelof Botha como director 'independiente' y miembro del comité de auditoría, días después de su oferta pública inicial récord. En una empresa que Musk controla, la etiqueta hace mucho trabajo.

La UE dice a las grandes tecnológicas: alinear los centros de datos de IA con los objetivos climáticos. El comisionado de Energía Jorgensen dice que las empresas deben apoyar la energía limpia y reciclar el calor residual. Una etiqueta de sostenibilidad se ha retrasado debido a una disputa nuclear.

La startup suiza Prem AI está recaudando $100 millones para que los fondos de cobertura y los bufetes de abogados puedan poseer su IA en lugar de alquilarla. Prem AI crea productos de IA para empresas que no pueden enviar datos a OpenAI o Anthropic. Está recaudando $100 millones con una valoración de más de $500 millones. "La inteligencia empresarial debe ser propiedad."

'FortiBleed': 75,000 inicios de sesión de firewalls Fortinet expuestos

Una filtración denominada FortiBleed expuso credenciales en texto plano para aproximadamente 75,000 firewalls de Fortinet en 194 países, incluyendo Samsung, Oracle y Siemens. Así es como.