17 июня 2026 года был обнародован набор учётных данных, который не должен был удивить никого и встревожил всех. Исследователь Володимир «Bob» Diachenko нашёл открытый в интернете сервер, на котором хранились имена пользователей, адреса электронной почты и пароли в открытом виде для десятков тысяч межсетевых экранов Fortinet FortiGate. Kevin Beaumont получил этот набор, проработал его совместно с Hudson Rock и подтвердил то, чего никто не хотел подтверждать: учётные данные были действительными. Кампания получила название FortiBleed.
Вся история в цифрах. 73 932 уникальных URL-адреса FortiGate в 194 странах, привязанных к 21 632 доменам, что, по опросным данным Shodan, составляет примерно половину всех межсетевых экранов Fortinet, обращённых в настоящее время к публичному интернету. Затронутые организации: не любители: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, а также государственные ведомства и операторы критической инфраструктуры. По меньшей мере четыре организации были полностью скомпрометированы: в Японии, на Тайване, во Вьетнаме, в Ираке и в Турции, причём атакующие перемещались с машины на машину внутри сети. Наихудший случай: турецкий оборонный субподрядчик NATO, из которого были эксфильтрованы секретные документы. Эта активность приписывается русскоязычной преступной группе с несколькими операторами.
Ирония пишется сама собой. Межсетевой экран, единственное устройство, чьё назначение целиком состоит в том, чтобы удерживать злоумышленников на периметре, стал открытой дверью этого периметра.
Что на самом деле произошло, технически
Никакой новой уязвимости здесь нет, и это важно. Сбор данных восходит к CVE-2022-40684, обходу аутентификации FortiOS, который Fortinet устранила в октябре 2022 года и который массово эксплуатировался прежде, чем большинство организаций применили исправление. Учётные данные, собранные во время той волны 2022 года, с тех пор циркулируют в закрытых криминальных форумах. FortiBleed: это тот же запас, обновлённый: операторы перехватывали аутентификацию SSL-VPN, восстанавливали хеши паролей и взламывали их на кластере из 45 графических процессоров, управляемом через Hashtopolis. Затем они воспроизводили восстановленные пароли на действующих устройствах, зафиксировав 1,16 миллиарда попыток входа против 320 000 устройств FortiGate и ещё 2,1 миллиарда параллельно против 160 000 серверов Microsoft SQL, и проводили действительные учётные данные дальше, в Active Directory, каталог, который управляет каждой учётной записью Windows в организации.
Ответ Fortinet технически верен и стратегически бьёт мимо цели. Компания характеризует FortiBleed как переработанные данные из прошлых инцидентов плюс перебор, а не как свежий изъян в своих продуктах. Это правда. Но устройства по-прежнему в сети, а переработанный пароль открывает настоящую дверь ровно до тех пор, пока его никто не меняет. В большом парке смена каждого учётного данного VPN и администратора: не щелчок пальцами, что и является самой причиной, по которой атакующие поставили на то, что это всё ещё сработает. Они оказались правы.
Какие регуляторные рамки этим управляют и чего они требуют
Это не нишевая техническая сноска; это лежит прямо внутри трёх режимов, которым затронутые организации уже подотчётны.
Регламент ЕС о цифровой операционной устойчивости (DORA) связывает финансовые организации. Его столп управления рисками ИКТ (статьи с 5 по 15) требует сильной аутентификации и контроля доступа на точках удалённого входа (статья 9), а также проверенной и документально подтверждённой способности реагирования на инциденты (статья 11). DORA не принимает «мы устранили уязвимость 2022 года» как устойчивость; он спрашивает, была ли остаточная подверженность выявлена, количественно оценена и управляема. Директива о безопасности сетевых и информационных систем 2 (NIS2) охватывает гораздо более широкую совокупность, включая энергетику, транспорт, производство, цифровую инфраструктуру и государственное управление, и её статья 21 прямо называет многофакторную аутентификацию, контроль доступа и управление активами в числе базовых мер, причём органы управления несут личную ответственность согласно статье 20. ISO/IEC 27001:2022 формулирует те же средства контроля как обязательства Приложения A: A.5.17 (информация для аутентификации), A.8.5 (безопасная аутентификация), A.5.15 (контроль доступа) и A.8.9 (управление конфигурацией). Для оборонного субподрядчика NATO применяется четвёртый слой: обязательства по безопасности цепочки поставок обороны, согласно которым эксфильтрация секретного материала является событием, подлежащим отчётности, уровня суверенитета, а не просто коммерческим нарушением.
Какие средства контроля дали сбой
Снимите эффектный масштаб заголовка, и FortiBleed сводится к короткому списку переключателей, оставленных в положении ВЫКЛ. Многофакторная аутентификация на удалённом доступе отсутствовала или была неполной, а это единственное средство контроля, делающее украденный пароль инертным, то, чьё наличие отделяет несобытие от взлома. Ротация учётных данных так и не сработала после компрометации 2022 года, так что пароли, утёкшие четыре года назад, всё ещё проходили аутентификацию в июне 2026 года. Гигиена исправлений и конфигурации отставала от исходного окна CVE-2022-40684 достаточно долго, чтобы сбор удался. Сегментация сети между периметром VPN и ядром Active Directory была тонкой или отсутствовала, превращая единственное скомпрометированное устройство в горизонтальное перемещение в масштабах всего домена. И в основе всего этого подвела видимость активов: организации не имели авторитетной, актуальной картины того, какие из их устройств FortiGate обращены к интернету, на какой прошивке, с какими учётными записями и какой позицией аутентификации. Нельзя сменить, сегментировать или принудительно включить MFA на подверженности, которую вы не видите.
Что изменили бы инструменты CCI
Ни одно из четырёх средств контроля выше не требовало новой категории продукта. Они требовали, чтобы подверженность непрерывно видели, оценивали в цене и доказывали, а это и есть в точности тот разрыв, который закрывают инструменты CCI.
EviGen ответил бы на единственный вопрос, который имеет значение, прежде чем атакующие его задали бы: принудительно ли включена MFA на каждой учётной записи SSL-VPN и администратора, на каждом устройстве, прямо сейчас? EviGen собирает это доказательство конфигурации автоматически по всему парку и упаковывает его с учётом регуляторной рамки как артефакт по статье 9 DORA, статье 21 NIS2 и A.8.5 ISO, формируемый непрерывно, а не воссоздаваемый в панике. Пробел в покрытии MFA становится датированным, подписанным выводом на той же неделе, когда он открывается, а не криминалистическим открытием после эксфильтрации.
NetDiagramer нарисовал бы путь, который атакующие действительно прошли. Он отображает зоны межсетевого экрана и межуровневые зависимости из живой инвентаризации, выявляя каждый обращённый к интернету FortiGate и, что критически важно, маршрут от периметра SSL-VPN в ядро Active Directory. Плоская смежность периметра и домена, сделавшая четыре организации полностью компрометируемыми, это в точности то, что автоматически сформированная топология по статье 8 DORA и статье 21 NIS2 раскрывает как вывод, а не как посмертную схему.
cVaR превратил бы «старые учётные данные, вероятно, ничего страшного» в число уровня совета директоров. Применяя метод FAIR и моделирование Monte-Carlo по инвентаризации активов, он оценивает в цене сценарий «обращённое к интернету учётное данное VPN воспроизводится и пивотирует в AD» как кривую превышения убытков в евро. Остаточная подверженность, которая читается как смутное беспокойство в реестре рисков, читается как условная стоимость под риском на панели cVaR, и остаточные евро ротируются там, где остаточные беспокойства откладываются.
DORA-MAST сделал бы из этого протестированный сценарий, а не сюрприз. Он прогоняет нарушение, повторное использование учётных данных на периметре удалённого доступа, против модели, вычисляет влияние на устойчивость и документирует тест в рамках программы тестирования по статьям с 24 по 31 DORA, включая риск концентрации на третьей стороне, заключающийся в ставке всего периметра на единственного поставщика устройств.
Предскажи подверженность, оцени её в цене, докажи средство контроля, отрепетируй сбой. Рана 2022 года была познаваема. Утёкшие учётные данные были познаваемы. Пробел в MFA был познаваем. FortiBleed не эксплуатировал уязвимость в коде Fortinet. Он эксплуатировал расстояние между средством контроля, которым организация владела, и средством контроля, чью включённость организация могла доказать. Сократите это расстояние, и переработанный пароль не откроет ничего.
Если ваш домен уже в списке: как быстро получить помощь
Инструменты выше описывают позицию, которую организация выстраивает до инцидента. FortiBleed для многих из 21 632 раскрытых доменов: не будущий риск, а нынешний, и честный вопрос в том, что делать на этой неделе. Применимы две отдельные способности CCI, и стоит быть точным в том, что делает каждая.
Первая: это лидерство под давлением. CISO как услуга от CCI опирается на пул из восьми или более практиков, сертифицированных CISSP, с намеренно непересекающимися биографиями в банковском деле, обороне, телекоммуникациях и энергетике. Для организации, которая только что обнаружила свои учётные данные в наборе FortiBleed, актуальный режим: временное или дежурное покрытие: подотчётный руководитель по безопасности, который может рассортировать подверженность, проинформировать совет директоров и ответить на вопросы регулятора по статье 11 (DORA) или статье 23 (NIS2), пока внутренняя команда выполняет ротацию. Мы не проводим аудит там, где руководим, так что эта независимость сохраняется по замыслу.
Вторая: это инженерная скорость. Люди, которые построили EviGen, NetDiagramer, cVaR и DORA-MAST, не являются отдельным поставщиком; это внутренняя команда исследований и разработок из академических работников, исследователей докторского уровня и инженеров по безопасности. Это имеет операционное значение, потому что устранение FortiBleed: в масштабе: задача инструментария: сверка полного парка FortiGate организации с опубликованным списком раскрытых доменов, принудительная ротация учётных данных на сотнях устройств, а затем доказательство того, что многофакторная аутентификация принудительно включена на каждой оставшейся учётной записи. Это в точности тот тип специально создаваемого инструмента исправления, который те же инженеры могут поставить на ноги быстро, потому что лежащие в основе примитивы, включая загрузку инвентаризации, сбор доказательств конфигурации и картирование топологии, уже существуют как поставляемые продукты, а не как презентации. Честная постановка: это способность, а не контрактный секундомер: команда, которая продуктизировала эти примитивы, может скомпоновать их в целевой инструмент устранения куда быстрее, чем команда, впервые сталкивающаяся с проблемой. Если FortiBleed достиг вашего парка, самый быстрый путь к очерченному ответу: это поговорить с практиком.
Рана, которая так и не зажила
Шершень не меняется; колония меняется. Учётные данные, которые клиенты Fortinet потеряли в 2022 году, никогда не собирались истечь сами по себе, потому что пароли не заживают. Что изменилось для половины парка, всё ещё подверженной, так это ничего: те же устройства, те же пароли, тот же плоский путь до домена. Исправление неэффектно и полностью достижимо. Принудительно включить MFA, сменить пароли сейчас, сегментировать периметр от ядра и держать непрерывное доказательство того, что все три вещи истинны. Атакующие ставят на то, что вы прочтёте это, кивнёте и отложите до следующего квартала. У них есть четырёхлетний послужной список, доказывающий их правоту в этом.
Acronyms
| Аббревиатура | Расшифровка (английский) | Перевод на русский |
|---|---|---|
| AD | Active Directory | Active Directory |
| CVE | Common Vulnerabilities and Exposures | Общие уязвимости и риски |
| CVSS | Common Vulnerability Scoring System | Общая система оценки уязвимостей |
| DORA | Digital Operational Resilience Act | Закон о цифровой операционной устойчивости |
| FAIR | Factor Analysis of Information Risk | Факторный анализ информационного риска |
| GPU | Graphics Processing Unit | Графический процессор |
| ICT | Information and Communication Technology | Информационно-коммуникационные технологии |
| MFA | Multi-Factor Authentication | Многофакторная аутентификация |
| NIS2 | Network and Information Security Directive 2 | Директива о безопасности сетей и информационных систем 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | Виртуальная частная сеть на уровне защищённых сокетов |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj