FortiBleed: únik prihlasovacích údajov do FortiGate VPN vyše 430 000 zariadení po celom svete

VJ CSIRT na základe zistení bezpečnostných výskumníkov zo spoločnosti SOCRadar opakovane upozorňuje na rozsiahlu kampaň označovanú ako FortiBleed, ktorá sa zameriava na zariadenia Fortinet FortiGate.

Výskumníci upozorňujú na globálnu vlnu kompromitácií firewallov Fortinet. Kampaň dostala názov FortiBleed. Úniky obsahujú prihlasovacie údaje k VPN a firewallom FortiGate pre približne 430 000 zariadení po celom svete (report spoločnosti SOCRadar hovorí o 194 krajinách). Databáza zahŕňa používateľské mená, e-mailové adresy a v niektorých prípadoch aj heslá v čitateľnej podobe. Spoločnosť Fortinet uviedla, že nejde o novú zraniteľnosť ani nové úniky. Analýza kampane naznačuje, že útočníci primárne využívajú kompromitované alebo opakovane používané prihlasovacie údaje získané z predchádzajúcich únikov dát a úspešných útokov na heslá hrubou silou. Iné analýzy však hovoria aj o zbere prihlasovacích údajov, ktorá započala v máji 2026. Kampaň proti FortiGate VPN môže byť súčasťou širšieho zberu prihlasovacích údajov pre viaceré technológie.

Vykonané opatrenia:

Jednotka CSIRT.SK analyzovala situáciu a informovala organizácie verejnej správy, ktoré využívajú jej preventívne služby (Achilles, Afrodita). Pokiaľ prevádzkujete informačné systémy a technológie verejnej správy a zatiaľ nevyužívate služby CSIRT.SK, môžete nás kontaktovať na adrese achilles@csirt.sk. Postupujte podľa pokynov na stránke služby Achilles. Pripravte si aj zoznamom aktívnych domén Vašej organizácie (napr. @csirt.sk) pre prihlásenie do služby overenia úniku prihlasovacích údajov.

Odporúčania:

Správcom zasiahnutých zariadení Fortinet FortiGate, ale aj preventívne, odporúčame bezodkladne:

• Ukončiť administratívne a VPN relácie a zmeniť všetky administrátorské a VPN prihlasovacie údaje, používať silné heslá.
• Zaviesť viacfaktorovú autentifikáciu (MFA) pre administrátorov aj používateľov VPN.
• Skontrolovať systémové a autentifikačné logy na prítomnosť neobvyklých prihlásení.
• Skontrolovať konfiguračné nastavenia pre prípad neautorizovaných zmien.
• Obmedziť prístup k administračným rozhraniam len na dôveryhodné adresy alebo cez dedikované manažmentové siete.
• Aktualizovať firmvér na najnovšiu podporovanú verziu.
• Impementovať best practices pre konfiguráciu zariadení FortiGate, ktoré nájdete na stránkach výrobcu.
• Overiť, či používané účty nefigurujú v známych únikoch prihlasovacích údajov.

Záver:

Aktuálna kampaň potvrdzuje, že kompromitované prihlasovacie údaje zostávajú jedným
z najčastejších spôsobov úspešného prieniku do podnikových sietí. Organizácie by mali vo všeobecnosti venovať zvýšenú pozornosť správe identít, ochrane VPN prístupov a monitorovaniu bezpečnostných udalostí.

Zdroje:

• https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
• https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
• https://thehackernews.com/2026/06/fortibleed-targeted-fortigate-firewalls.html
• https://spycloud.com/blog/what-spycloud-found-inside-the-fortibleed-threat-actor-infrastructure/