В середине июня 2026 года исследователи информационной безопасности раскрыли масштабную кампанию по компрометации учётных данных, направленную на межсетевые экраны Fortinet FortiGate, подключённые к интернету. Операция получила неофициальное название FortiBleed. Речь не идёт об одной исправляемой уязвимости - это скоординированная атака, которая эксплуатирует слабые механизмы хранения паролей на устройствах FortiGate в сочетании с подбором учётных данных против открытых интерфейсов управления и SSL VPN. Кампания активна как минимум с марта 2026 года, однако публичное оповещение появилось только на этой неделе.
Описание
Атакующие извлекают конфигурационные файлы и взламывают сохранённые хеши в офлайн-режиме. Компания Fortinet внедрила более стойкое хеширование PBKDF2 в версиях FortiOS 7.2.11, 7.4.8 и 7.6.1. Однако на обновлённых устройствах пароли администраторов продолжают храниться в виде слабых солевых хешей SHA-256 до тех пор, пока каждый администратор не войдёт в систему повторно. Устаревшие хеши могут сохраняться в скрытом поле old-password, что даёт злоумышленникам дополнительное окно для атаки. Исследователи сообщают о подтверждённых рабочих учётных данных администратора для примерно 30 000-75 000 устройств, расположенных в 194 странах. Та же группа атакует также FortiWeb, MSSQL и другие сервисы. По предварительным оценкам, деятельность связывают с русскоязычной киберпреступной группировкой. Цифры являются предварительными, а заявления о конкретных жертвах пока не получили независимого подтверждения.
Основная угроза заключается в том, что скомпрометированные учётные данные могут быть использованы или проданы для получения начального доступа в корпоративные сети. Учитывая, что FortiGate размещается на периметре сети и является шлюзом для многих организаций, а в прошлом компрометация устройств Fortinet предшествовала атакам программ-вымогателей и кражам данных, потенциальные последствия крайне серьёзны. Злоумышленник, получивший доступ к панели управления межсетевым экраном, может изменять правила фильтрации, создавать туннели, перехватывать трафик и использовать устройство как точку входа для дальнейшего продвижения по сети.
Согласно отчёту исследователей, основным индикатором компрометации является сам факт наличия открытого интерфейса управления или SSL VPN, доступного из интернета. Дополнительными признаками служат обнаружение SHA-256 хешей в поле old-password в резервной копии конфигурации суперадминистратора, а также необычная активность аутентификации: входы с неожиданных IP-адресов, географических локаций или в нерабочее время, появление новых учётных записей администраторов и VPN-пользователей, а также изменения политик доступа. Отдельно упоминается источник IP 85.11.187.8 (AS211486), зафиксированный независимой honeypot-фермой, однако этот адрес может не быть общим для всей кампании и рекомендуется лишь как отправная точка для анализа журналов.
Для защиты организаций, использующих FortiGate, необходим немедленный комплекс мер. Все учётные данные администраторов и VPN-пользователей на устройствах, имеющих доступ из интернета, следует считать скомпрометированными и в приоритетном порядке сменить. Обязательным является внедрение многофакторной аутентификации для всех административных и удалённых аккаунтов. Управляющие интерфейсы должны быть ограничены доверенными внутренними сетями - они не должны быть доступны из интернета. Для принудительного использования PBKDF2 требуется, чтобы каждый администратор после обновления прошивки вошёл в систему хотя бы один раз, либо сбросить оставшиеся учётные записи через суперадминистратора. В версиях FortiOS 7.2.x и 7.4.x рекомендуется включить опцию 'login-lockout-upon-weaker-encryption', которая удаляет остаточные хеши SHA-256.
Уязвимыми считаются все устройства FortiGate с FortiOS, обновлённые с версий ниже 7.2.11, 7.4.8 или 7.6.1, если администраторы не прошли повторную аутентификацию, а также устройства, сохранившие хеши в поле old-password. Любой межсетевой экран с открытым из интернета интерфейсом управления или SSL VPN подвергается риску независимо от версии прошивки - оценка должна строиться на основе доступности из сети и истории обновлений, а не только номера версии.
При обнаружении признаков вредоносной активности следует немедленно запустить план реагирования на инциденты и привлечь специализированную компанию по расследованию киберпреступлений. Необходимо сохранить доказательства, включая резервные копии конфигураций и журналы, затем изолировать доступ злоумышленника, сменить все учётные данные, которые могли проходить через устройство, провести поиск угроз и устранить присутствие атакующего в сети. Финальным этапом должны стать криминалистические исследования затронутых и нижестоящих систем на предмет возможной утечки данных.
Кампания FortiBleed демонстрирует, что слабое управление учётными данными на периметровом оборудовании остаётся одной из самых привлекательных целей для киберпреступников. Даже после внедрения стойкого хеширования переходный период создаёт значительное окно уязвимости. Организациям необходимо пересмотреть практики управления учётными записями на сетевых устройствах, сделав смену паролей после обновления обязательным шагом, а также полностью исключить доступ к интерфейсам управления из интернета. Игнорирование этих рекомендаций оставляет инфраструктуру открытой для атак, которые могут привести к масштабным утечкам данных и вымогательству.
Индикаторы компрометации
- Открытый интерфейс управления или SSL VPN, видимый в поисковых системах интернет-устройств (например, Shodan)
- Хэши SHA-256 в поле «old-password» резервной копии конфигурации super_admin
- Входы администратора или VPN с неожиданных адресов, географических местоположений или часов, а также новые учетные записи администратора/VPN и изменения политик
- Аутентификация с IP-адреса 85.11.187.8 / AS211486 (независимое обнаружение ловушки, не подтвержденное в масштабах всей кампании; использовать в качестве отправной точки для анализа журналов)
