17 जून 2026 को एक क्रेडेंशियल डेटासेट सार्वजनिक हुआ, जिससे किसी को आश्चर्य नहीं होना चाहिए था, और जिसने सबको स्तब्ध कर दिया। शोधकर्ता Volodymyr "Bob" Diachenko को एक इंटरनेट पर खुला सर्वर मिला जिसमें हज़ारों Fortinet FortiGate फायरवॉल के यूज़रनेम, ई-मेल पते और सादे-पाठ (plaintext) पासवर्ड रखे थे। Kevin Beaumont ने वह सेट हासिल किया, उसे Hudson Rock के साथ खंगाला, और वही पुष्टि की जिसकी पुष्टि कोई नहीं चाहता था: क्रेडेंशियल वैध थे। इस अभियान को FortiBleed नाम दिया गया।
असली कहानी आँकड़ों में है। 194 देशों में फैले 73,932 अद्वितीय FortiGate URL, जो 21,632 डोमेन से जुड़े हैं, और Shodan पोलिंग के अनुसार यह सार्वजनिक इंटरनेट की ओर मुँह किए हर Fortinet फायरवॉल का लगभग आधा हिस्सा है। उजागर हुए संगठन शौकिया नहीं हैं: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, साथ ही सरकारी एजेंसियाँ और महत्वपूर्ण-अवसंरचना संचालक। कम से कम चार संगठन पूरी तरह से समझौता किए गए, जापान, ताइवान, वियतनाम, इराक और तुर्की में, जहाँ हमलावर नेटवर्क के भीतर एक मशीन से दूसरी मशीन तक छलाँग लगाते रहे। सबसे बुरा मामला एक तुर्की NATO रक्षा उप-ठेकेदार का है जिससे गोपनीय दस्तावेज़ बाहर निकाल लिए गए। इस गतिविधि का श्रेय एक बहु-संचालक रूसी-भाषी आपराधिक समूह को दिया जाता है।
विडंबना अपने आप लिख जाती है। फायरवॉल, वह इकलौता उपकरण जिसका समूचा उद्देश्य घुसपैठियों को परिधि पर रोके रखना है, परिधि का खुला दरवाज़ा बन गया।
तकनीकी रूप से असल में क्या हुआ
यहाँ कोई नई खामी नहीं है, और यही मायने रखता है। यह संचयन CVE-2022-40684 तक जाता है, वह FortiOS ऑथेंटिकेशन-बायपास जिसे Fortinet ने अक्टूबर 2022 में पैच किया था और जिसका अधिकांश संगठनों के फिक्स लागू करने से पहले ही बड़े पैमाने पर शोषण कर लिया गया था। उस 2022 की लहर के दौरान खुरची गई क्रेडेंशियल तब से निजी आपराधिक मंचों में घूम रही हैं। FortiBleed वही पुराना भंडार है, ताज़ा किया हुआ: संचालकों ने SSL-VPN ऑथेंटिकेशन को रोका, पासवर्ड हैश हासिल किए, और उन्हें Hashtopolis से समन्वित एक 45-GPU क्लस्टर पर तोड़ा। फिर उन्होंने बरामद पासवर्ड को जीवित उपकरणों के विरुद्ध दोहराया, 320,000 FortiGate उपकरणों के विरुद्ध 1.16 billion लॉगिन प्रयास दर्ज किए और समानांतर में 160,000 Microsoft SQL सर्वरों के विरुद्ध 2.1 billion और प्रयास, और वैध क्रेडेंशियल को Active Directory तक ले गए, वह डायरेक्टरी जो संगठन के हर Windows खाते पर शासन करती है।
Fortinet की प्रतिक्रिया तकनीकी रूप से सही है और रणनीतिक रूप से मुद्दे से परे। कंपनी FortiBleed को बीती घटनाओं के पुनर्चक्रित डेटा और ब्रूट फ़ोर्स के रूप में चित्रित करती है, अपने उत्पादों में किसी नई खामी के रूप में नहीं। सच है। लेकिन उपकरण अब भी ऑनलाइन हैं, और एक पुनर्चक्रित पासवर्ड ठीक उतनी देर तक एक असली दरवाज़ा खोलता है जब तक कोई उसे बदलता नहीं। एक बड़े बेड़े में, हर VPN और एडमिनिस्ट्रेटर क्रेडेंशियल को बदलना चुटकी बजाने जैसा नहीं है, और यही पूरी वजह है कि हमलावरों ने उसके अब भी काम करते रहने पर दाँव लगाया। वे सही थे।
कौन-से ढाँचे इस पर शासन करते हैं, और वे क्या माँगते हैं
यह कोई किनारे की तकनीकी फुटनोट नहीं है; यह सीधे तीन ऐसे नियामक तंत्रों के भीतर बैठता है जिनका प्रभावित संगठन पहले से जवाब देते हैं।
EU डिजिटल ऑपरेशनल रेज़िलिएंस एक्ट (DORA) वित्तीय इकाइयों को बाध्य करता है। इसका ICT जोखिम-प्रबंधन स्तंभ (अनुच्छेद 5 से 15) रिमोट प्रवेश बिंदुओं पर मज़बूत ऑथेंटिकेशन और एक्सेस नियंत्रण की माँग करता है (अनुच्छेद 9) और एक परखी हुई, साक्ष्य-सिद्ध इंसिडेंट-रिस्पॉन्स क्षमता की (अनुच्छेद 11)। DORA "हमने 2022 की CVE पैच कर दी" को रेज़िलिएंस के रूप में स्वीकार नहीं करता; यह पूछता है कि क्या अवशिष्ट एक्सपोज़र को पहचाना, मात्रात्मक रूप से आँका और शासित किया गया था। नेटवर्क और सूचना सुरक्षा निर्देश 2 (NIS2) कहीं अधिक विस्तृत आबादी को कवर करता है, जिसमें ऊर्जा, परिवहन, विनिर्माण, डिजिटल अवसंरचना और लोक प्रशासन शामिल हैं, और इसका अनुच्छेद 21 स्पष्ट रूप से मल्टी-फैक्टर ऑथेंटिकेशन, एक्सेस नियंत्रण और एसेट प्रबंधन को आधारभूत उपाय के रूप में नामित करता है, जबकि प्रबंधन निकाय अनुच्छेद 20 के तहत व्यक्तिगत रूप से जवाबदेह हैं। ISO/IEC 27001:2022 उन्हीं नियंत्रणों को अनुलग्नक A दायित्वों के रूप में ढालता है: A.5.17 (ऑथेंटिकेशन सूचना), A.8.5 (सुरक्षित ऑथेंटिकेशन), A.5.15 (एक्सेस नियंत्रण) और A.8.9 (कॉन्फ़िगरेशन प्रबंधन)। NATO रक्षा उप-ठेकेदार के लिए एक चौथी परत लागू होती है: रक्षा आपूर्ति-शृंखला सुरक्षा दायित्व, जिनके तहत गोपनीय सामग्री का बहिर्निष्कासन एक रिपोर्ट-योग्य, संप्रभुता-स्तर की घटना है, महज़ एक वाणिज्यिक उल्लंघन नहीं।
कौन-से नियंत्रण विफल हुए
भव्य पैमाने को हटा दें तो FortiBleed बंद स्थिति में छोड़े गए स्विचों की एक छोटी सूची है। रिमोट-एक्सेस मल्टी-फैक्टर ऑथेंटिकेशन अनुपस्थित या अधूरा था, और यही वह इकलौता नियंत्रण है जो चुराए गए पासवर्ड को निष्क्रिय बना देता है, वही जिसकी उपस्थिति एक गैर-घटना को एक उल्लंघन से अलग करती है। 2022 के समझौते के बाद क्रेडेंशियल रोटेशन कभी चला ही नहीं, इसलिए चार साल पहले लीक हुए पासवर्ड जून 2026 में भी ऑथेंटिकेट कर रहे थे। पैच और कॉन्फ़िगरेशन स्वच्छता मूल CVE-2022-40684 खिड़की से इतना पीछे रही कि संचयन सफल हो गया। VPN किनारे और Active Directory कोर के बीच नेटवर्क सेगमेंटेशन पतला या अनुपस्थित था, जिसने एक अकेले समझौता-ग्रस्त उपकरण को डोमेन-व्यापी पार्श्व गति में बदल दिया। और इन सबके नीचे, एसेट दृश्यता विफल रही: संगठनों के पास इसका कोई आधिकारिक, अद्यतन दृश्य नहीं था कि उनके कौन-से FortiGate उपकरण इंटरनेट की ओर मुँह किए थे, किस फ़र्मवेयर पर, किन खातों के साथ और किस ऑथेंटिकेशन मुद्रा में। आप उस एक्सपोज़र पर न तो रोटेट कर सकते, न सेगमेंट, न MFA लागू कर सकते, जिसे आप देख ही नहीं सकते।
CCI के उपकरण क्या बदल देते
ऊपर के चारों नियंत्रणों में से किसी को भी नई उत्पाद श्रेणी की ज़रूरत नहीं थी। उन्हें इसकी ज़रूरत थी कि एक्सपोज़र को निरंतर देखा, मूल्यांकित और सिद्ध किया जाए, और यही ठीक वह खाई है जिसे CCI के उपकरण भरते हैं।
EviGen ने उस इकलौते सवाल का जवाब दे दिया होता जो मायने रखता है, इससे पहले कि हमलावर उसे पूछते: क्या इस वक़्त, हर उपकरण पर, हर SSL-VPN और एडमिनिस्ट्रेटर खाते पर MFA लागू है? EviGen यह कॉन्फ़िगरेशन साक्ष्य पूरे बेड़े में स्वचालित रूप से एकत्र करता है और उसे ढाँचे के प्रति सचेत रूप में DORA अनुच्छेद 9, NIS2 अनुच्छेद 21 और ISO A.8.5 के कलाकृति (artefact) के रूप में पैकेज करता है, जो घबराहट में पुनर्निर्मित किए जाने के बजाय निरंतर उत्पन्न होता है। MFA कवरेज में एक खाई उसी हफ़्ते एक तिथि-अंकित, हस्ताक्षरित निष्कर्ष बन जाती है जब वह खुलती है, न कि बहिर्निष्कासन के बाद की कोई फ़ोरेंसिक खोज।
NetDiagramer ने वही रास्ता खींच दिया होता जिस पर हमलावर वास्तव में चले। यह जीवित इन्वेंट्री से फायरवॉल ज़ोन और क्रॉस-लेयर निर्भरताओं का मानचित्रण करता है, हर इंटरनेट-मुखी FortiGate को सामने लाता है और, सबसे अहम, SSL-VPN किनारे से Active Directory कोर तक के मार्ग को। वह सपाट किनारे-से-डोमेन निकटता, जिसने चार संगठनों को पूरी तरह समझौता-योग्य बना दिया, ठीक वही है जिसे एक स्वचालित रूप से उत्पन्न DORA अनुच्छेद 8 और NIS2 अनुच्छेद 21 टोपोलॉजी किसी पोस्ट-मॉर्टम आरेख के बजाय एक निष्कर्ष के रूप में उजागर करती है।
cVaR ने "पुराने क्रेडेंशियल, शायद ठीक ही हैं" को एक बोर्ड-स्तरीय संख्या में बदल दिया होता। एसेट इन्वेंट्री में FAIR और Monte-Carlo सिमुलेशन लागू करते हुए, यह इस परिदृश्य "इंटरनेट-मुखी VPN क्रेडेंशियल दोहराया जाता है और AD तक पिवट करता है" का मूल्य यूरो में एक हानि-अतिक्रमण वक्र (loss-exceedance curve) के रूप में आँकता है। एक अवशिष्ट एक्सपोज़र जो किसी जोखिम रजिस्टर में अस्पष्ट चिंता-सा पढ़ा जाता है, वह cVaR डैशबोर्ड पर सशर्त मूल्य-पर-जोखिम (conditional value-at-risk) के रूप में पढ़ा जाता है, और अवशिष्ट यूरो वहाँ रोटेट हो जाते हैं जहाँ अवशिष्ट चिंताएँ टाल दी जाती हैं।
DORA-MAST ने इसे एक आश्चर्य के बजाय एक परखा हुआ परिदृश्य बना दिया होता। यह व्यवधान, यानी रिमोट-एक्सेस परिधि पर क्रेडेंशियल पुनः-उपयोग, को मॉडल के विरुद्ध चलाता है, रेज़िलिएंस प्रभाव की गणना करता है, और DORA के अनुच्छेद 24 से 31 के परीक्षण कार्यक्रम के तहत परीक्षण को साक्ष्य-सिद्ध करता है, जिसमें समूची परिधि को एक ही उपकरण विक्रेता पर दाँव लगाने का तृतीय-पक्ष संकेंद्रण जोखिम भी शामिल है।
एक्सपोज़र का पूर्वानुमान लगाएँ, उसका मूल्य आँकें, नियंत्रण को सिद्ध करें, विफलता का पूर्वाभ्यास करें। 2022 का घाव जानने योग्य था। लीक हुए क्रेडेंशियल जानने योग्य थे। MFA खाई जानने योग्य थी। FortiBleed ने Fortinet के कोड में किसी खामी का शोषण नहीं किया। उसने एक ऐसे नियंत्रण, जो किसी संगठन के पास था, और एक ऐसे नियंत्रण, जिसके चालू होने को कोई संगठन सिद्ध कर सकता था, के बीच की दूरी का शोषण किया। उस दूरी को पाट दीजिए, और पुनर्चक्रित पासवर्ड कुछ भी नहीं खोलता।
अगर आपका डोमेन पहले से सूची में है: मदद जल्दी पाना
ऊपर के उपकरण एक ऐसी मुद्रा का वर्णन करते हैं जिसे संगठन किसी घटना से पहले गढ़ता है। 21,632 उजागर डोमेन में से कई के लिए FortiBleed कोई भविष्य का जोखिम नहीं बल्कि एक वर्तमान जोखिम है, और ईमानदार सवाल यह है कि इस हफ़्ते क्या किया जाए। CCI की दो भिन्न क्षमताएँ लागू होती हैं, और यह स्पष्ट रहना सार्थक है कि कौन क्या करती है।
पहली है दबाव में नेतृत्व। CCI की सेवा के रूप में CISO आठ या अधिक CISSP-प्रमाणित व्यवसायियों के एक समूह पर आधारित है, जिनकी पृष्ठभूमियाँ बैंकिंग, रक्षा, दूरसंचार और ऊर्जा में जान-बूझकर गैर-अतिव्यापी हैं। उस संगठन के लिए जिसने अभी-अभी अपने क्रेडेंशियल को FortiBleed सेट में पाया है, प्रासंगिक रूप अंतरिम या ऑन-कॉल कवर है: एक जवाबदेह सुरक्षा नेता जो एक्सपोज़र को छाँट सके, बोर्ड को जानकारी दे सके, और किसी नियामक के अनुच्छेद 11 (DORA) या अनुच्छेद 23 (NIS2) के सवालों का जवाब दे सके, जबकि आंतरिक टीम रोटेशन को अंजाम देती है। हम वहाँ ऑडिट नहीं करते जहाँ हम नेतृत्व करते हैं, ताकि वह स्वतंत्रता संरचना द्वारा ही सुरक्षित रहे।
दूसरी है इंजीनियरिंग की गति। जिन लोगों ने EviGen, NetDiagramer, cVaR और DORA-MAST बनाए वे कोई अलग विक्रेता नहीं हैं; वे शिक्षाविदों, डॉक्टरेट-स्तर के शोधकर्ताओं और सुरक्षा इंजीनियरों की एक आंतरिक अनुसंधान-एवं-विकास टीम हैं। यह संचालनगत रूप से मायने रखता है क्योंकि बड़े पैमाने पर FortiBleed का उपचार एक उपकरण-संबंधी समस्या है: किसी संगठन के पूरे FortiGate बेड़े को प्रकाशित उजागर-डोमेन सूची के विरुद्ध जाँचना, सैकड़ों उपकरणों पर क्रेडेंशियल रोटेशन को बाध्य करना, और फिर यह सिद्ध करना कि हर बचे हुए खाते पर मल्टी-फैक्टर ऑथेंटिकेशन लागू है। यह ठीक वैसा ही अनुकूलित प्रतिकार उपकरण है जिसे ये ही इंजीनियर तेज़ी से खड़ा कर सकते हैं, क्योंकि अंतर्निहित आधारभूत इकाइयाँ, जिनमें इन्वेंट्री अंतर्ग्रहण, कॉन्फ़िगरेशन साक्ष्य संग्रह और टोपोलॉजी मानचित्रण शामिल हैं, स्लाइडवेयर के बजाय शिप किए जा चुके उत्पादों के रूप में पहले से मौजूद हैं। ईमानदार ढाँचा एक क्षमता है, कोई संविदात्मक स्टॉपवॉच नहीं: जिस टीम ने इन आधारभूत इकाइयों को उत्पाद बनाया है, वह उन्हें एक लक्षित उपचार उपकरण में, समस्या से पहली बार टकराने वाली टीम की तुलना में कहीं तेज़ी से जोड़ सकती है। अगर FortiBleed आपके बेड़े तक पहुँच चुका है, तो किसी दायरेबद्ध प्रतिक्रिया का सबसे तेज़ रास्ता है किसी व्यवसायी से बात करना।
वह घाव जो कभी भरा ही नहीं
बर्र नहीं बदलता; छत्ता बदलता है। Fortinet के ग्राहकों ने 2022 में जो क्रेडेंशियल गँवाए, वे अपने आप कभी समाप्त नहीं होने वाले थे, क्योंकि पासवर्ड खुद-ब-खुद भरते नहीं। जो बदला, बेड़े के अब भी उजागर आधे हिस्से के लिए, वह कुछ नहीं है: वही उपकरण, वही पासवर्ड, वही सपाट रास्ता डोमेन तक। समाधान बेरौनक है और पूरी तरह पहुँच के भीतर। MFA लागू करें, अभी रोटेट करें, किनारे को कोर से सेगमेंट करें, और निरंतर साक्ष्य रखें कि तीनों सच हैं। हमलावर दाँव लगाते हैं कि आप इसे पढ़ेंगे, सिर हिलाएँगे, और इसे अगली तिमाही तक टाल देंगे। इस बारे में सही साबित होने का उनके पास चार साल का रिकॉर्ड है।
Acronyms
| संक्षिप्ताक्षर | विस्तृत रूप (अंग्रेज़ी) | हिंदी अनुवाद |
|---|---|---|
| AD | Active Directory | सक्रिय निर्देशिका (Active Directory) |
| CVE | Common Vulnerabilities and Exposures | सामान्य भेद्यताएँ और एक्सपोज़र |
| CVSS | Common Vulnerability Scoring System | सामान्य भेद्यता स्कोरिंग प्रणाली |
| DORA | Digital Operational Resilience Act | डिजिटल ऑपरेशनल रेज़िलिएंस अधिनियम |
| FAIR | Factor Analysis of Information Risk | सूचना जोखिम का कारक विश्लेषण |
| GPU | Graphics Processing Unit | ग्राफ़िक्स प्रोसेसिंग यूनिट |
| ICT | Information and Communication Technology | सूचना और संचार प्रौद्योगिकी |
| MFA | Multi-Factor Authentication | बहु-कारक प्रमाणीकरण |
| NIS2 | Network and Information Security Directive 2 | नेटवर्क और सूचना सुरक्षा निर्देश 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | सिक्योर सॉकेट्स लेयर वर्चुअल प्राइवेट नेटवर्क |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj