Fortibleed: Как Киберпреступники Скомпрометировали Более 70 000 Fortinet‑Файрволов И Vpn‑Устройств По Всему Миру

Ключевые выводы

  • Более 73 000 публичных URL‑адресов Fortinet и более 30 000 физических устройств уже взломаны в рамках кампании FortiBleed.
  • Атака не использует уязвимости ПО, а базируется на утекших списках паролей и отсутствии их смены администратором.
  • Пострадали крупные компании (Accenture, Comcast, Lenovo, Oracle, Samsung и др.), а также правительственные структуры в Индии, США, Тайване и Мексике.
  • Хакеры используют скомпрометированные устройства как «прослушивающие посты», собирают новые креденшалы и автоматически распространяются дальше.
  • Для защиты необходимо регулярно менять пароли, отключать доступ из интернета и внедрять многофакторную аутентификацию.
В 2024‑м году мир увидел, как простая ошибка в администрировании может превратить мощные корпоративные файрволы в точку входа для хакеров. Давайте разберём, что происходит, почему так происходит и как это исправить.

Что такое FortiBleed и как она работает?

FortiBleed — это название масштабной кампании, обнаруженной в начале 2024 года, когда две независимые аналитические компании — Hudson Rock и SOCRadar — сообщили о массовой компрометации Fortinet‑файрволов и VPN‑концентраторов. В отличие от большинства прошлых атак, в которых использовались уязвимости в коде, здесь злоумышленники полагаются на утекшие списки паролей.

Алгоритм атаки прост:

  1. Автоматические сканеры обходят Интернет в поисках публично открытых IP‑адресов Fortinet‑устройств.
  2. Найденные устройства проверяются против огромной базы известного администраторского и сервисного паролей (часто это комбинации типа admin/admin, password и т.п.).
  3. При совпадении хакер получает доступ к управлению, делает устройство «прослушивающим постом» и начинает перехватывать трафик.
  4. Из перехваченного трафика собираются новые учётные данные, которые сразу же отправляются обратно в сканер, позволяя атаке «самоподстраиваться» и захватывать всё больше устройств.

Эффект «домино» делает FortiBleed особенно опасной: одна скомпрометированная точка может привести к заражению сети целой корпорации.

Кто пострадал? Список крупнейших жертв

По данным Hudson Rock, среди скомпрометированных компаний есть:

  • Accenture — глобальный консалтинговый гигант.
  • Comcast — один из крупнейших американских провайдеров.
  • Foxconn — мировой лидер в производстве электроники.
  • Lenovo — китайский производитель ПК и серверов.
  • Oracle — разработчик корпоративных СУБД.
  • Samsung — корейский конгломерат.
  • Siemens — немецкий технологический концерн.
  • PWC — международная сеть аудиторских фирм.

Сообщения о реакции от компаний варьируются: Lenovo подтвердил факт получения запроса, но публичного комментария не дал; остальные компании пока молчат.

География и отраслевой профиль атак

Самыми поражёнными странами оказались:

  • Индия
  • Соединённые Штаты
  • Тайвань
  • Мексика

Но уязвимые устройства найдены «на каждом континенте», говорят аналитики. Что касается отраслей, то по данным Hudson Rock в первую очередь пострадали:

  • IT‑услуги
  • Строительные материалы
  • Телекоммуникации

SOCRadar дополнительно отмечает попадание в список жертв правительственных учреждений.

Почему FortiBleed так успешна? Проблемы в управлении паролями

Большинство атак базируется на **человеческом факторе**:

  • Администраторы часто используют дефолтные или простые пароли, не меняя их после установки.
  • В некоторых организациях пароли хранятся в открытом виде в конфигурационных файлах или документах.
  • Отсутствие MFA (многофакторной аутентификации) делает возможность входа почти единственной проверкой пароля.

Эти «простейшие» ошибки легко компенсировать, но в реальном мире компании часто пренебрегают ими из-за «уровня удобства».

Как защищаться от FortiBleed?

Ниже список практических шагов, которые помогут закрыть дыры, использованные в кампании:

  • Сменить пароли на уникальные, случайно сгенерированные строки длиной минимум 12 символов.
  • Отключить публичный доступ к управляющему интерфейсу (HTTPS/SSH) – оставить доступ только из корпоративного VPN.
  • Включить MFA для всех администраторов.
  • Регулярно проверять список открытых портов с помощью сервисов типа Shodan, Censys.
  • Внедрить системы управления привилегиями (PAM) и контролировать привилегированный доступ.
  • Обновлять прошивки, даже если в данный момент не обнаружено уязвимостей – новые версии часто содержат улучшения в логировании и безопасности.
  • Мониторить аномальный трафик и использовать IDS/IPS для выявления подозрительных соединений.

Эти меры не гарантируют 100 % защиты, но существенно снижают шанс, что ваш Fortinet‑устройств окажется «прослушивающим постом».

Краткая история кампании FortiBleed

Первая публичная информация появилась в соцсетях у исследователя Боба Дяченко, который опубликовал листинг «массива скомпрометированных URL‑адресов» в конце недели. Позже независимый исследователь Кевин Бомонт подтвердил достоверность данных, указав, что списки паролей «полностью легитимные» и могут быть использованы в автоматизированных атаках.

В отличие от прошлых инцидентов (например, уязвимости FortiGate CVE‑2024‑XXXX), FortiBleed не требует эксплойтов, а «пищит» на человеческую халатность. Как отмечают эксперты, это свидетельствует о том, что даже без новых багов злоумышленники способны масштабировать атаки за счёт «low‑tech», но «high‑impact» подхода.

Что дальше? Перспективы и прогнозы

Ожидается, что после FortiBleed появятся аналогичные кампании, нацеленные не только на Fortinet, но и на другие популярные решения (Cisco ASA, Palo Alto, Check Point). Причина проста: база утекших паролей растёт, а процесс их смены остаётся медленным.

Для индустрии это сигнал, что **управление привилегиями** должно стать приоритетом на уровне политики и автоматизации. Инструменты Secret Management (HashiCorp Vault, AWS Secrets Manager) могут помочь централизовать хранение и ротацию паролей.

Справка

Fortinet – американская компания, основанная в 2000 году Кеном Селэнком, специализируется на сетевой безопасности (файрволы, VPN, SD‑WAN). Продукты FortiGate часто выбирают крупные корпорации благодаря высокому уровню производительности.

Hudson Rock – исследовательская фирма в сфере кибербезопасности, известна своими отчетами о компрометации инфраструктурных устройств и утечках данных.

SOCRadar – израильская компания, предоставляющая решения по мониторингу киберугроз и аналитике атак. Активно публикует отчёты о новых кампаниях.

Bob Diachenko – независимый исследователь безопасности, известный своими находками в области раскрытия открытых администраторских панелей и уязвимостей в IoT-устройствах.

Kevin Beaumont – специалист по киберразведке, публикует технические блоги о методах анализа утекших данных и проверке их подлинности.

Accenture – глобальная консалтинговая компания, основанная в 1989 году, обслуживает более 3 млн клиентов в более чем 120 странах.

FortiBleed показала, что самая простая ошибка – рутинный пароль – может открыть ворота в любую корпоративную сеть. Если вы хотите спать спокойно, проверьте свои файрволы уже сегодня.

Интересно почитать :

Instagram расширяет TV‑приложение: длинные видео, серии и живые трансляции на
больших экранах
Instagram расширяет TV‑приложение: длинные видео, серии и живые трансляции на больших экранах

Ключевые выводы Instagram тестирует длинные ролики, эпизодические сериалы и прямые трансляции в TV‑приложении. Приложение уже доступно на Amazon Fire и Google TV, а теперь стартует и на Samsung TV. Новые …

Фильм о Мелании Трамп бьёт кассовые ожидания, несмотря на скандалы и разгромные
рецензии
Фильм о Мелании Трамп бьёт кассовые ожидания, несмотря на скандалы и разгромные рецензии

Ключевые выводы Документальный фильм "Melania" собрал $7.04 млн в первый уик-энд, заняв третье место в прокате Несмотря на финансовый успех, картина получила 7% на Metacritic и 10% на Rotten Tomatoes …

Blue Origin планирует возврат New Glenn в полёт после взрыва: что изменилось и
как быстро?
Blue Origin планирует возврат New Glenn в полёт после взрыва: что изменилось и как быстро?

Ключевые выводы Взрыв New Glenn 28 мая 2026 г. произошёл в задней части первой ступени, точный источник всё ещё неизвестен. Blue Origin переходит от транспортера‑эректора к крупному крана, что ускорит …

Google предоставил Министерству обороны США доступ к ИИ для классифицированных
сетей: что это значит?
Google предоставил Министерству обороны США доступ к ИИ для классифицированных сетей: что это значит?

Ключевые выводы Google заключил договор с Министерством обороны США, позволяя использовать свои ИИ‑модели в секретных сетях. Компания добавила формулировку о нежелании применять ИИ для массовой слежки и автономного вооружения, но …

Почему нельзя заряжать телефон чужой зарядкой: 7 причин и как защититься
Почему нельзя заряжать телефон чужой зарядкой: 7 причин и как защититься

Кратко: Через чужой кабель можно передать не только ток, но и данные. Juice Jacking и Choice Jacking позволяют украсть пароли, фото и даже установить вредонос. Самый надёжный способ — свой …

Приостановка строительства дата-центров в Нью-Йорке: новый фронт в борьбе за
экологию и тарифы
Приостановка строительства дата-центров в Нью-Йорке: новый фронт в борьбе за экологию и тарифы

Ключевые выводы Нью-Йорк стал шестым штатом США, предложившим заморозку новых дата-центров на три года Законопроект получил поддержку как демократов, так и республиканцев Эксперты связывают резкий рост тарифов на электроэнергию с …

ФильтрИзбранноеМеню43750 ₽
Top