FortiBleed: CISA предупредила о кампании против 86 644 Fortinet-устройств

Агентство CISA предупредило клиентов Fortinet о продолжающейся вредоносной активности против интернет-доступных FortiGate firewall и VPN-шлюзов. Кампания получила название FortiBleed, а число скомпрометированных устройств, по данным The Hacker News со ссылкой на исследователей, достигло 86 644 на 19 июня 2026 года.

Схема атаки строится не вокруг одной новой zero-day-уязвимости, а вокруг массовой проверки известных логинов и паролей против удалённых интерфейсов Fortinet. По данным SOCRadar, 35% скомпрометированных записей приходятся на generic admin accounts, ещё 28,3% — на встроенные системные учётные записи Fortinet. Оставшиеся 36,7% — организационные аккаунты, созданные самими компаниями.

Исследователи считают, что атакующие массово сканировали интернет в поисках Fortinet remote login endpoints, а затем применяли специальный инструмент для password spraying и credential stuffing. После успешного входа злоумышленники могли пассивно наблюдать за трафиком через устройство и собирать дополнительные учётные данные, которые затем использовались для расширения базы проверенных доступов.

Наиболее затронутыми секторами названы телеком, государственные организации и образование. Среди стран с большим числом экспозиций упоминаются Индия, США, Мексика, Колумбия и Таиланд. Британский NCSC также описывает FortiBleed как глобальную кампанию против интернет-доступных Fortinet firewall и VPN gateway с использованием brute force, dictionary attack и credential stuffing.

Отдельный фактор риска связан с историческим хранением паролей в FortiOS. Arctic Wolf отмечает, что Fortinet перешла на PBKDF2-хэширование администраторских паролей в FortiOS 7.2.11, 7.4.8 и 7.6.1, заменив прежний механизм на основе SHA-256. Но при обновлении со старых версий существующие пароли могли оставаться в старом формате до следующего входа соответствующего администратора.

CISA рекомендует завершить все активные SSL VPN и административные сессии, сбросить пароли Fortinet VPN и администраторов, особенно на интернет-доступных системах, включить сильные политики паролей и MFA, а также проверить журналы на подозрительную активность. Для команд безопасности FortiBleed — напоминание, что старые пароли, дефолтные имена учётных записей и забытые VPN-интерфейсы остаются полноценной поверхностью атаки.

Источник: The Hacker News, 19 июня 2026