'FortiBleed': 75,000 логинов брандмауэров Fortinet раскрыты

      Исследователи в области безопасности обнаружили обширный массив украденных учетных данных для брандмауэров Fortinet, раскрывающий данные для входа десятков тысяч организаций по всему миру. Набор данных, получивший название «FortiBleed», содержит открытые имена пользователей, электронные адреса и пароли для 73,932 уникальных устройств брандмауэра и VPN Fortinet FortiGate в 194 странах, затрагивая более 21,000 доменов. Исследователи оценивают, что это примерно половина всех брандмауэров Fortinet, в настоящее время доступных в интернете. Имена, появляющиеся в данных, читаются как список ведущих мировых компаний: Oracle, Chevron, Lenovo, FedEx, Foxconn, Samsung, Comcast, Siemens, PwC и Accenture среди них, наряду с подрядчиком по обороне НАТО. Согласно Ars Technica, сама Fortinet также присутствует в списке.

      Никаких эффектных нулевых дней, только промышленный взлом паролей. Одной из поучительных частей FortiBleed является то, что она не включала: нет признаков блестящего нового уязвимости в программном обеспечении Fortinet. Вместо этого исследователи утверждают, что злоумышленники сканировали интернет на предмет устройств Fortinet, пробовали кураторский список уже известных и ранее утекших паролей против каждого из них и записывали каждую успешную попытку входа. То, чего им не хватало в новизне, они компенсировали масштабом. Группа распыляла сотни тысяч конечных точек входа, перехватывала хэши аутентификации VPN и взламывала их на выделенном кластере из 45 GPU, выполняя более миллиарда попыток входа. «Масштаб — это и есть сложность», — сказал исследователь Боб Дяченко в интервью Ars Technica.

      Оказавшись внутри устройства, они использовали его как пост наблюдения, следя за проходящим трафиком и собирая любые свежие учетные данные, которые проходили мимо. Брандмауэр, предназначенный для защиты от злоумышленников, стал местом, с которого они наблюдали. Дяченко, который нашел данные на сервере злоумышленников, приписывает кампанию русскоязычной группе. Безопасные компании SOCRadar и Hudson Rock проанализировали улов, а исследователь Кевин Бомонт независимо подтвердил, что логины реальны и актуальны. Как учетные данные были первоначально получены, вероятно, из экспортированных файлов конфигурации FortiGate, все еще неясно.

      Что это значит и что не значит. Важное замечание: раскрытые учетные данные не равны полностью взломанной сети. Утечка показывает, какие двери могут быть открыты, а не то, что каждая организация за ними была скомпрометирована. Однако ущерб не только теоретический. Дяченко утверждает, что как минимум четыре организации были полностью скомпрометированы, включая турецкого подрядчика по обороне НАТО, из которого были украдены секретные документы.

      Fortinet оспаривает такую интерпретацию. Она сообщила репортерам, что данные «являются повторным распространением данных из предыдущих инцидентов, а также брутфорсом учетных данных» и «не связаны с каким-либо недавним инцидентом или уведомлением». Исследователи возражают, что затронутые устройства отличаются от тех, которые были в известной утечке Fortinet 2025 года, и что многие из них работают на современном программном обеспечении, что указывает на текущий улов.

      Это также вписывается в более широкий контекст. Устройства VPN и брандмауэры стали любимой целью, и группы, такие как Qilin, неоднократно злоупотребляют корпоративным VPN-оборудованием для первоначального доступа. Исправление также не является эффектным. Исследователи призывают пользователей Fortinet менять пароли администратора FortiGate и VPN, применять многофакторную аутентификацию для всего внешнего доступа, блокировать интерфейсы управления для доверенных диапазонов IP, проверять журналы на предмет подозрительных входов и удалять неактивные учетные записи. Если один повторно используемый пароль может открыть переднюю дверь, никакой брандмауэр вас не спасет.