Fortibleed: Как Киберпреступники Скомпрометировали Более 70 000 Fortinet‑Файрволов И Vpn‑Устройств По Всему Миру

Ключевые выводы

• Более 73 000 публичных URL‑адресов Fortinet и более 30 000 физических устройств уже взломаны в рамках кампании FortiBleed.
• Атака не использует уязвимости ПО, а базируется на утекших списках паролей и отсутствии их смены администратором.
• Пострадали крупные компании (Accenture, Comcast, Lenovo, Oracle, Samsung и др.), а также правительственные структуры в Индии, США, Тайване и Мексике.
• Хакеры используют скомпрометированные устройства как «прослушивающие посты», собирают новые креденшалы и автоматически распространяются дальше.
• Для защиты необходимо регулярно менять пароли, отключать доступ из интернета и внедрять многофакторную аутентификацию.

В 2024‑м году мир увидел, как простая ошибка в администрировании может превратить мощные корпоративные файрволы в точку входа для хакеров. Давайте разберём, что происходит, почему так происходит и как это исправить.

Что такое FortiBleed и как она работает?

FortiBleed — это название масштабной кампании, обнаруженной в начале 2024 года, когда две независимые аналитические компании — Hudson Rock и SOCRadar — сообщили о массовой компрометации Fortinet‑файрволов и VPN‑концентраторов. В отличие от большинства прошлых атак, в которых использовались уязвимости в коде, здесь злоумышленники полагаются на утекшие списки паролей.

Алгоритм атаки прост:

1. Автоматические сканеры обходят Интернет в поисках публично открытых IP‑адресов Fortinet‑устройств.
2. Найденные устройства проверяются против огромной базы известного администраторского и сервисного паролей (часто это комбинации типа admin/admin, password и т.п.).
3. При совпадении хакер получает доступ к управлению, делает устройство «прослушивающим постом» и начинает перехватывать трафик.
4. Из перехваченного трафика собираются новые учётные данные, которые сразу же отправляются обратно в сканер, позволяя атаке «самоподстраиваться» и захватывать всё больше устройств.

Эффект «домино» делает FortiBleed особенно опасной: одна скомпрометированная точка может привести к заражению сети целой корпорации.

Кто пострадал? Список крупнейших жертв

По данным Hudson Rock, среди скомпрометированных компаний есть:

• Accenture — глобальный консалтинговый гигант.
• Comcast — один из крупнейших американских провайдеров.
• Foxconn — мировой лидер в производстве электроники.
• Lenovo — китайский производитель ПК и серверов.
• Oracle — разработчик корпоративных СУБД.
• Samsung — корейский конгломерат.
• Siemens — немецкий технологический концерн.
• PWC — международная сеть аудиторских фирм.

Сообщения о реакции от компаний варьируются: Lenovo подтвердил факт получения запроса, но публичного комментария не дал; остальные компании пока молчат.

География и отраслевой профиль атак

Самыми поражёнными странами оказались:

• Индия
• Соединённые Штаты
• Тайвань
• Мексика

Но уязвимые устройства найдены «на каждом континенте», говорят аналитики. Что касается отраслей, то по данным Hudson Rock в первую очередь пострадали:

• IT‑услуги
• Строительные материалы
• Телекоммуникации

SOCRadar дополнительно отмечает попадание в список жертв правительственных учреждений.

Почему FortiBleed так успешна? Проблемы в управлении паролями

Большинство атак базируется на **человеческом факторе**:

• Администраторы часто используют дефолтные или простые пароли, не меняя их после установки.
• В некоторых организациях пароли хранятся в открытом виде в конфигурационных файлах или документах.
• Отсутствие MFA (многофакторной аутентификации) делает возможность входа почти единственной проверкой пароля.

Эти «простейшие» ошибки легко компенсировать, но в реальном мире компании часто пренебрегают ими из-за «уровня удобства».

Как защищаться от FortiBleed?

Ниже список практических шагов, которые помогут закрыть дыры, использованные в кампании:

• Сменить пароли на уникальные, случайно сгенерированные строки длиной минимум 12 символов.
• Отключить публичный доступ к управляющему интерфейсу (HTTPS/SSH) – оставить доступ только из корпоративного VPN.
• Включить MFA для всех администраторов.
• Регулярно проверять список открытых портов с помощью сервисов типа Shodan, Censys.
• Внедрить системы управления привилегиями (PAM) и контролировать привилегированный доступ.
• Обновлять прошивки, даже если в данный момент не обнаружено уязвимостей – новые версии часто содержат улучшения в логировании и безопасности.
• Мониторить аномальный трафик и использовать IDS/IPS для выявления подозрительных соединений.

Эти меры не гарантируют 100 % защиты, но существенно снижают шанс, что ваш Fortinet‑устройств окажется «прослушивающим постом».

Краткая история кампании FortiBleed

Первая публичная информация появилась в соцсетях у исследователя Боба Дяченко, который опубликовал листинг «массива скомпрометированных URL‑адресов» в конце недели. Позже независимый исследователь Кевин Бомонт подтвердил достоверность данных, указав, что списки паролей «полностью легитимные» и могут быть использованы в автоматизированных атаках.

В отличие от прошлых инцидентов (например, уязвимости FortiGate CVE‑2024‑XXXX), FortiBleed не требует эксплойтов, а «пищит» на человеческую халатность. Как отмечают эксперты, это свидетельствует о том, что даже без новых багов злоумышленники способны масштабировать атаки за счёт «low‑tech», но «high‑impact» подхода.

Что дальше? Перспективы и прогнозы

Ожидается, что после FortiBleed появятся аналогичные кампании, нацеленные не только на Fortinet, но и на другие популярные решения (Cisco ASA, Palo Alto, Check Point). Причина проста: база утекших паролей растёт, а процесс их смены остаётся медленным.

Для индустрии это сигнал, что **управление привилегиями** должно стать приоритетом на уровне политики и автоматизации. Инструменты Secret Management (HashiCorp Vault, AWS Secrets Manager) могут помочь централизовать хранение и ротацию паролей.

Справка

Fortinet – американская компания, основанная в 2000 году Кеном Селэнком, специализируется на сетевой безопасности (файрволы, VPN, SD‑WAN). Продукты FortiGate часто выбирают крупные корпорации благодаря высокому уровню производительности.

Hudson Rock – исследовательская фирма в сфере кибербезопасности, известна своими отчетами о компрометации инфраструктурных устройств и утечках данных.

SOCRadar – израильская компания, предоставляющая решения по мониторингу киберугроз и аналитике атак. Активно публикует отчёты о новых кампаниях.

Bob Diachenko – независимый исследователь безопасности, известный своими находками в области раскрытия открытых администраторских панелей и уязвимостей в IoT-устройствах.

Kevin Beaumont – специалист по киберразведке, публикует технические блоги о методах анализа утекших данных и проверке их подлинности.

Accenture – глобальная консалтинговая компания, основанная в 1989 году, обслуживает более 3 млн клиентов в более чем 120 странах.

FortiBleed показала, что самая простая ошибка – рутинный пароль – может открыть ворота в любую корпоративную сеть. Если вы хотите спать спокойно, проверьте свои файрволы уже сегодня.