FortiBleed: Únik přístupů k desítkám tisíc Fortinet zařízení. Co o něm zatím víme?

Bezpečnostní komunita v posledních dnech řeší rozsáhlý únik dat označovaný jako FortiBleed. Podle dostupných informací unikly přístupové údaje k desítkám tisíc zařízení FortiGate společnosti Fortinet po celém světě. Mezi potenciálně zasaženými organizacemi se mají nacházet velké korporace, poskytovatelé telekomunikačních služeb, státní instituce i provozovatelé kritické infrastruktury.

Přestože rozsah incidentu budí pozornost, kolem jeho původu zatím zůstává řada nejasností. Odborníci se shodují, že zveřejněná data působí autenticky, není však jasné, zda jde o důsledek nové zranitelnosti, nebo o souhrn dat získávaných útočníky dlouhodobě různými metodami.

Co je FortiBleed?

Na incident jako první upozornil bezpečnostní výzkumník Bob Diachenko, který objevil veřejně dostupný server obsahující rozsáhlou databázi přístupových údajů k zařízením Fortinet.

Podle zveřejněných informací databáze obsahovala:

• uživatelská jména,
• e-mailové adresy,
• hesla,
• informace o organizacích,
• metadata využitelná pro plánování dalších útoků.

Společnost Hudson Rock následně analyzovala získaná data a uvedla, že databáze obsahuje přibližně 73 932 unikátních firewall URL, více než 21 tisíc organizací a záznamy z 194 zemí světa.

Mezi organizacemi, které se měly v datech objevit, jsou podle zveřejněných informací například Samsung, Foxconn, Comcast, Siemens, Lenovo, Oracle, Accenture, PwC a řada dalších velkých společností.

Jak měli útočníci postupovat

Diachenko zveřejnil také informace o údajném fungování celé operace.

Podle jeho zjištění mělo dojít k:

• více než 1,16 miliardy pokusů o přihlášení proti FortiGate zařízením,
• více než 2,1 miliardy pokusů proti Microsoft SQL Serverům,
• využívání GPU clusteru pro lámání autentizačních hashů,
• následnému pohybu uvnitř kompromitovaných sítí.

Výzkumník tvrdí, že útočníci získávali přístupy k VPN zařízením, ověřovali jejich platnost a následně se snažili pronikat dále do interní infrastruktury organizací.

Data vypadají jako skutečná

Autenticitu části zveřejněných dat nezávisle ověřoval také známý bezpečnostní výzkumník Kevin Beaumont.

Podle něj databáze skutečně obsahuje platné přístupové údaje k přibližně 75 tisícům Fortinet zařízení a většina z nich je stále dostupná z internetu.

Beaumont zároveň upozornil, že zveřejněná data připomínají exporty konfigurací zařízení FortiGate. V databázi se totiž nacházejí informace, které bývají běžně dostupné právě v konfiguračních souborech firewallů.

To naznačuje, že útočníci mohli získat přístup přímo ke konfiguracím zařízení, není však jasné jakým způsobem.

Co zatím nevíme

Právě původ dat je v tuto chvíli největší neznámou.

Zatím neexistuje potvrzení, že by za incidentem stála nová kritická zranitelnost ve Fortinet produktech.

Není jasné:

• zda byla data získána prostřednictvím dosud neznámé zranitelnosti,
• zda šlo o zneužití starších známých chyb,
• zda útočníci využívali kompromitované účty a slabá hesla,
• nebo zda jde o kombinaci více technik používaných delší dobu.

Společnost Fortinet mezitím uvedla, že podle jejích dosavadních poznatků nejde o důkaz nové zranitelnosti ani nového bezpečnostního incidentu. Firma připouští možnost, že zveřejněná databáze vznikla kombinací historických kompromitací, dříve získaných dat a útoků zaměřených na slabě chráněné účty.

Pohled českého experta

Zajímavý pohled přidal na LinkedIn také český bezpečnostní expert Martin Haller, který se uniklým datům věnoval detailněji.

Ve zveřejněném příspěvku uvádí, že v datech napočítal přibližně 68 520 FortiGate zařízení. Zároveň uvedl, že mezi spravovanými zákazníky nenašel žádnou organizaci, které by se únik přímo týkal.

Při analýze si však všiml, že databáze obsahuje také přístupy k zařízení FortiGate města Židlochovice, které se před několika měsíci stalo obětí ransomware útoku.

Podle Hallera může existovat souvislost mezi kompromitací zařízení a následným útokem, zdůrazňuje však, že jde pouze o jeho odborný odhad.

„Za mě je dost pravděpodobné, že tyto dvě věci spolu souvisejí.“

Haller rovněž upozorňuje, že FortiGate zařízení často obsahují nebo zprostředkovávají přístupy k Active Directory, LDAP službám a VPN infrastruktuře. Kompromitace takového zařízení proto může útočníkům výrazně usnadnit další pohyb uvnitř organizace.

Ve svém komentáři také spekuluje o možném původu části kompromitovaných přístupů. Podle něj by jednou z možností mohly být chyby ve validaci SAML tokenů služby FortiCloud SSO, konkrétně zranitelnosti:

• CVE-2026-24858
• CVE-2025-59718
• CVE-2025-59719

Ani pro tuto hypotézu však zatím nejsou veřejně dostupné důkazy.

Hallerův komentář je zajímavý především tím, že jako jeden z prvních veřejně popsal konkrétní českou stopu v uniklých datech a upozornil na možné souvislosti s dřívějšími bezpečnostními incidenty.

Zdroj komentáře Martina Hallera:

https://www.linkedin.com/posts/martin-haller_dnes-jsem-se-skoro-cel%C3%BD-den-hrabal-ve-fortibleed-share-7473721505114382337-6v45/

Proč je incident zajímavý i z pohledu obrany

Haller ve svém komentáři upozorňuje ještě na jeden důležitý aspekt.

Podle něj podobné incidenty ukazují limity bezpečnostních strategií postavených výhradně na EDR řešeních.

Pokud se útočníci pohybují primárně na síťovém perimetru, kompromitují VPN zařízení, firewally nebo síťové prvky a neprovádějí aktivitu přímo na koncových stanicích, mohou zůstat pro endpointové detekční systémy dlouhou dobu prakticky neviditelní.

Jde o další připomínku, že ochrana organizací nemůže být postavena pouze na monitoringu pracovních stanic a serverů, ale musí zahrnovat také síťovou vrstvu a perimetr.

Co by měly organizace udělat

Pokud organizace používá zařízení Fortinet nebo FortiGate, odborníci doporučují:

• změnit administrátorská hesla,
• změnit VPN přihlašovací údaje,
• zapnout vícefaktorové ověřování (MFA),
• zkontrolovat logy VPN a administrace zařízení,
• prověřit podezřelé aktivity v Active Directory,
• omezit přístup k management rozhraním z internetu,
• ověřit, zda se zařízení nenachází v uniklé databázi.

Závěr

FortiBleed představuje jeden z největších veřejně známých souborů kompromitovaných přístupových údajů souvisejících s produkty Fortinet. Přestože autenticita části dat byla nezávisle potvrzena, původ celé databáze zůstává nejasný.

V tuto chvíli proto nelze s jistotou říci, zda jde o důsledek nové zranitelnosti, nebo o souhrn dat získávaných útočníky dlouhodobě různými metodami.

Jisté je pouze jedno: organizace využívající Fortinet zařízení by měly incident brát vážně a ověřit, zda se jejich infrastruktura mezi zveřejněnými daty nenachází.

Zdroje

• BleepingComputer: https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
• Martin Haller (LinkedIn): https://www.linkedin.com/posts/martin-haller_dnes-jsem-se-skoro-cel%C3%BD-den-hrabal-ve-fortibleed-share-7473721505114382337-6v45/