17 czerwca 2026 roku do publicznej wiadomości trafił zbiór danych uwierzytelniających, który nie powinien był nikogo zaskoczyć, a zaalarmował wszystkich. Badacz Volodymyr "Bob" Diachenko znalazł wystawiony do Internetu serwer zawierający nazwy użytkowników, adresy e-mail i hasła w postaci jawnej dla dziesiątek tysięcy zapór Fortinet FortiGate. Kevin Beaumont pozyskał ten zbiór, przeanalizował go wraz z Hudson Rock i potwierdził to, czego nikt nie chciał potwierdzonego: dane uwierzytelniające były ważne. Kampanię nazwano FortiBleed.
Liczby są tu całą historią. 73 932 unikalne adresy URL FortiGate w 194 krajach, powiązane z 21 632 domenami, co według odczytów Shodan stanowi mniej więcej połowę wszystkich zapór Fortinet obecnie zwróconych do publicznego Internetu. Ujawnione organizacje to nie amatorzy: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, a do tego agencje rządowe i operatorzy infrastruktury krytycznej. Co najmniej cztery organizacje zostały w pełni skompromitowane, w Japonii, na Tajwanie, w Wietnamie, Iraku i Turcji, a atakujący przemieszczali się z maszyny na maszynę wewnątrz sieci. Najgorszy przypadek to turecki podwykonawca obronny NATO, z którego wyprowadzono dokumenty niejawne. Aktywność przypisuje się wieloosobowej rosyjskojęzycznej grupie przestępczej.
Ironia pisze się sama. Zapora sieciowa, jedyne urządzenie, którego całym celem jest powstrzymanie intruzów na obwodzie, stała się otwartymi drzwiami tego obwodu.
Co właściwie się stało, od strony technicznej
Nie ma tu żadnej nowej podatności, i to ma znaczenie. Zbieranie danych sięga CVE-2022-40684, obejścia uwierzytelniania w FortiOS, które Fortinet załatał w październiku 2022 roku i które było masowo wykorzystywane, zanim większość organizacji zastosowała poprawkę. Dane uwierzytelniające zebrane podczas tej fali z 2022 roku krążą od tamtej pory w prywatnych forach przestępczych. FortiBleed to ten zapas, odświeżony: operatorzy przechwycili uwierzytelnianie SSL-VPN, odzyskali skróty haseł i złamali je na klastrze złożonym z 45 kart graficznych, sterowanym przez Hashtopolis. Następnie odtworzyli odzyskane hasła przeciwko działającym urządzeniom, rejestrując 1,16 miliarda prób logowania przeciwko 320 000 urządzeń FortiGate oraz 2,1 miliarda kolejnych równolegle przeciwko 160 000 serwerów Microsoft SQL, po czym przeprowadzili ważne z nich aż do Active Directory, katalogu rządzącego każdym kontem Windows w organizacji.
Odpowiedź Fortinet jest technicznie poprawna i strategicznie obok tematu. Firma przedstawia FortiBleed jako dane z dawnych incydentów poddane recyklingowi w połączeniu z atakiem siłowym, a nie jako świeżą lukę w swoich produktach. To prawda. Ale urządzenia wciąż są online, a hasło poddane recyklingowi otwiera prawdziwe drzwi dokładnie tak długo, jak długo nikt go nie zmieni. W dużym parku maszyn rotacja każdego identyfikatora VPN i administratora nie odbywa się pstryknięciem palców, co jest właśnie powodem, dla którego atakujący założyli, że to nadal zadziała. Mieli rację.
Które ramy regulacyjne mają tu zastosowanie i czego wymagają
To nie jest niszowy techniczny przypis; mieści się to w samym środku trzech reżimów, którym dotknięte organizacje już podlegają.
Unijne rozporządzenie w sprawie operacyjnej odporności cyfrowej (DORA) wiąże podmioty finansowe. Jego filar zarządzania ryzykiem ICT (artykuły 5 do 15) wymaga silnego uwierzytelniania i kontroli dostępu w punktach zdalnego wejścia (artykuł 9) oraz przetestowanej i udokumentowanej zdolności reagowania na incydenty (artykuł 11). DORA nie akceptuje "załataliśmy CVE z 2022 roku" jako odporności; pyta, czy ekspozycję resztkową zidentyfikowano, skwantyfikowano i ujęto w ład. Dyrektywa w sprawie bezpieczeństwa sieci i informacji 2 (NIS2) obejmuje znacznie szerszą populację, w tym energetykę, transport, przemysł, infrastrukturę cyfrową i administrację publiczną, a jej artykuł 21 wyraźnie wymienia uwierzytelnianie wieloskładnikowe, kontrolę dostępu i zarządzanie zasobami jako środki podstawowe, przy czym organy zarządzające ponoszą osobistą odpowiedzialność na mocy artykułu 20. ISO/IEC 27001:2022 formułuje te same kontrole jako obowiązki z załącznika A: A.5.17 (informacje uwierzytelniające), A.8.5 (bezpieczne uwierzytelnianie), A.5.15 (kontrola dostępu) i A.8.9 (zarządzanie konfiguracją). Dla podwykonawcy obronnego NATO obowiązuje czwarta warstwa: obowiązki bezpieczeństwa łańcucha dostaw obronnych, na mocy których wyprowadzenie materiałów niejawnych jest zdarzeniem podlegającym zgłoszeniu, na poziomie suwerenności, a nie zwykłym naruszeniem komercyjnym.
Które kontrole zawiodły
Odejmij spektakularną skalę z nagłówka, a FortiBleed sprowadza się do krótkiej listy przełączników pozostawionych w pozycji WYŁĄCZONE. Uwierzytelnianie wieloskładnikowe dla zdalnego dostępu było nieobecne lub niepełne, a to jedyna kontrola, która czyni skradzione hasło bezwładnym, ta, której obecność oddziela nie-zdarzenie od naruszenia. Rotacja danych uwierzytelniających nigdy nie zadziałała po kompromitacji z 2022 roku, więc hasła, które wyciekły cztery lata wcześniej, nadal uwierzytelniały w czerwcu 2026 roku. Higiena poprawek i konfiguracji pozostawała w tyle za pierwotnym oknem CVE-2022-40684 na tyle długo, by zbieranie danych się powiodło. Segmentacja sieci między krawędzią VPN a rdzeniem Active Directory była cienka lub nieobecna, zamieniając pojedyncze skompromitowane urządzenie w ruch boczny obejmujący całą domenę. A u podstaw tego wszystkiego zawiodła widoczność zasobów: organizacje nie miały miarodajnego, aktualnego obrazu tego, które z ich urządzeń FortiGate były wystawione do Internetu, na jakim oprogramowaniu układowym, z jakimi kontami i z jaką postawą uwierzytelniania. Nie da się rotować, segmentować ani egzekwować MFA na ekspozycji, której się nie widzi.
Co zmieniłyby narzędzia CCI
Żadna z czterech powyższych kontroli nie wymagała nowej kategorii produktu. Wymagały, by ekspozycja była nieprzerwanie widziana, wyceniana i udowadniana, co jest właśnie luką, którą zamykają instrumenty CCI.
EviGen odpowiedziałby na jedyne pytanie, które ma znaczenie, zanim atakujący je zadali: czy MFA jest egzekwowane na każdym koncie SSL-VPN i administratora, na każdym urządzeniu, w tej chwili? EviGen zbiera ten dowód konfiguracji automatycznie w całym parku maszyn i pakuje go w sposób świadomy ram jako artefakt dla artykułu 9 DORA, artykułu 21 NIS2 i A.8.5 ISO, generowany nieprzerwanie, a nie odtwarzany w panice. Luka w pokryciu MFA staje się datowanym i podpisanym ustaleniem w tygodniu, w którym się otwiera, a nie odkryciem śledczym po wyprowadzeniu danych.
NetDiagramer narysowałby ścieżkę, którą atakujący rzeczywiście przeszli. Mapuje strefy zapór i zależności międzywarstwowe na podstawie żywego inwentarza, ujawniając każdy FortiGate wystawiony do Internetu oraz, co kluczowe, trasę od krawędzi SSL-VPN do rdzenia Active Directory. Płaska sąsiedniość krawędź-domena, która sprawiła, że cztery organizacje były w pełni kompromitowalne, to dokładnie to, co automatycznie generowana topologia na mocy artykułu 8 DORA i artykułu 21 NIS2 ujawnia jako ustalenie, a nie jako schemat z sekcji zwłok.
cVaR zamieniłby "stare dane uwierzytelniające, pewnie nic groźnego" w liczbę godną zarządu. Stosując metodę FAIR i symulację Monte-Carlo na inwentarzu zasobów, wycenia scenariusz "wystawiony do Internetu identyfikator VPN zostaje odtworzony i przechodzi do AD" jako krzywą przekroczenia strat w euro. Ekspozycja resztkowa, która czyta się jak mgliste zaniepokojenie w rejestrze ryzyk, czyta się jako warunkowa wartość zagrożona na pulpicie cVaR, a resztkowe euro zostają poddane rotacji tam, gdzie resztkowe zaniepokojenia zostają odłożone na później.
DORA-MAST uczyniłby z tego scenariusz przetestowany, a nie zaskoczenie. Przepuszcza zakłócenie, ponowne użycie danych uwierzytelniających na obwodzie zdalnego dostępu, przez model, oblicza wpływ na odporność i dokumentuje test na mocy programu testowego z artykułów 24 do 31 DORA, w tym ryzyko koncentracji na stronie trzeciej, jakim jest postawienie całego obwodu na jednym dostawcy urządzeń.
Przewidzieć ekspozycję, wycenić ją, udowodnić kontrolę, przećwiczyć awarię. Rana z 2022 roku była poznawalna. Wyciekłe dane uwierzytelniające były poznawalne. Luka MFA była poznawalna. FortiBleed nie wykorzystał podatności w kodzie Fortinet. Wykorzystał dystans między kontrolą, którą organizacja posiadała, a kontrolą, o której organizacja mogła udowodnić, że jest włączona. Zamknij ten dystans, a hasło poddane recyklingowi nie otwiera niczego.
Jeśli Twoja domena już jest na liście: szybkie uzyskanie pomocy
Powyższe narzędzia opisują postawę, którą organizacja buduje przed incydentem. FortiBleed, dla wielu z 21 632 ujawnionych domen, nie jest ryzykiem przyszłym, lecz obecnym, a uczciwe pytanie brzmi, co zrobić w tym tygodniu. Mają tu zastosowanie dwie odrębne zdolności CCI i warto być precyzyjnym co do tego, która robi co.
Pierwsza to przywództwo pod presją. CISO jako usługa CCI czerpie z puli ośmiu lub więcej praktyków z certyfikatem CISSP o celowo nienakładających się życiorysach w bankowości, obronności, telekomunikacji i energetyce. Dla organizacji, która właśnie odkryła swoje dane uwierzytelniające w zbiorze FortiBleed, istotnym trybem jest pokrycie tymczasowe lub na żądanie: odpowiedzialny lider bezpieczeństwa, który potrafi przeprowadzić triage ekspozycji, poinformować zarząd i odpowiedzieć na pytania regulatora na mocy artykułu 11 (DORA) lub artykułu 23 (NIS2), podczas gdy zespół wewnętrzny wykonuje rotację. Nie audytujemy tam, gdzie kierujemy, więc ta niezależność jest zachowana z założenia.
Druga to szybkość inżynierska. Ludzie, którzy zbudowali EviGen, NetDiagramer, cVaR i DORA-MAST, nie są oddzielnym dostawcą; są wewnętrznym zespołem badawczo- rozwojowym złożonym z naukowców, badaczy ze stopniem doktorskim i inżynierów bezpieczeństwa. Ma to znaczenie operacyjne, bo remediacja FortiBleed jest, na dużą skalę, problemem narzędziowym: skonfrontowanie pełnej floty FortiGate organizacji z opublikowaną listą ujawnionych domen, wymuszenie rotacji danych uwierzytelniających na setkach urządzeń, a następnie udowodnienie, że uwierzytelnianie wieloskładnikowe jest egzekwowane na każdym pozostałym koncie. To dokładnie ten rodzaj szytego na miarę instrumentu naprawczego, który ci sami inżynierowie potrafią szybko postawić, ponieważ leżące u podstaw prymitywy, w tym wczytywanie inwentarza, zbieranie dowodów konfiguracji i mapowanie topologii, już istnieją jako wdrożone produkty, a nie jako slajdy. Uczciwe ujęcie to zdolność, a nie kontraktowy stoper: zespół, który zindustrializował te prymitywy, potrafi złożyć je w celowane narzędzie remediacyjne znacznie szybciej niż zespół stykający się z problemem po raz pierwszy. Jeśli FortiBleed dotarł do Twojego parku, najszybszą drogą do zakreślonej odpowiedzi jest rozmowa z praktykiem.
Rana, która nigdy się nie zabliźniła
Szerszeń się nie zmienia; kolonia tak. Dane uwierzytelniające, które klienci Fortinet utracili w 2022 roku, nigdy nie miały wygasnąć same z siebie, bo hasła się nie goją. To, co się zmieniło, dla połowy floty wciąż wystawionej, to nic: te same urządzenia, te same hasła, ta sama płaska ścieżka do domeny. Poprawka jest pozbawiona chwały i całkowicie w zasięgu ręki. Wymuś MFA, rotuj teraz, oddziel krawędź od rdzenia i utrzymuj nieprzerwany dowód, że wszystkie trzy są prawdą. Atakujący zakładają, że przeczytasz to, skiniesz głową i odłożysz na następny kwartał. Mają czteroletnią historię słuszności w tej kwestii.
Acronyms
| Akronim | Rozwinięcie (angielski) | Tłumaczenie polskie |
|---|---|---|
| AD | Active Directory | Active Directory |
| CVE | Common Vulnerabilities and Exposures | Powszechne podatności i zagrożenia |
| CVSS | Common Vulnerability Scoring System | Wspólny system oceny podatności |
| DORA | Digital Operational Resilience Act | Rozporządzenie w sprawie operacyjnej odporności cyfrowej |
| FAIR | Factor Analysis of Information Risk | Analiza czynnikowa ryzyka informacyjnego |
| GPU | Graphics Processing Unit | Procesor graficzny |
| ICT | Information and Communication Technology | Technologie informacyjno-komunikacyjne |
| MFA | Multi-Factor Authentication | Uwierzytelnianie wieloskładnikowe |
| NIS2 | Network and Information Security Directive 2 | Dyrektywa w sprawie bezpieczeństwa sieci i informacji 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | Wirtualna sieć prywatna z warstwą bezpiecznych gniazd |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj