A mitjans de juny de 2026, l'investigador de seguretat Volodymyr Diachenko va descobrir un servidor operacional que contenia una base de dades completa de credencials valides de firewalls Fortinet FortiGate. La troballa, que SOCRadar va batejar com FortiBleed, no era una llista de contrasenyes robades a l'atzar: era la infraestructura activa d'un grup de parla russa que havia executat 1.160 milions d'intents d'autenticacio contra mes de 320.000 dispositius Fortinet, verificant cada credencial correcta amb eines automatitzades. El resultat: 86.644 credencials verificades, amb nom d'usuari, correu electronic i contrasenya en text pla, de firewalls i VPN gateways a 194 paisos. La CISA va emetre una alerta urgent el 19 de juny. La causa de FortiBleed no es un zero-day ni una vulnerabilitat de codi: son contrasenyes que mai es van rotar despres de bretxes previes, comptes d'administrador amb el nom per defecte, i un mecanisme de xifrat obsolet que fa les credencials trencables amb un cluster de GPUs.

Que es FortiBleed i que sabem de l'abast real de la campanya?

  • Abast: 86.644 credencials verificades de dispositius FortiGate a 194 paisos confirmades per BleepingComputer i Kevin Beaumont.
  • Escala de l'operacio: 1.160 milions d'intents de credencial contra mes de 320.000 dispositius FortiGate i 2.100 milions d'intents de forca bruta contra mes de 160.000 servidors Microsoft SQL Server. Cluster de 45 GPUs amb Hashtopolis per crackejar hashos SHA-256.
  • Metodologia: escaneig sistematic d'internet, exfiltracio de fitxers de configuracio, crackeig offline de hashos i verificacio automatitzada. Dispositius compresos usats com a punts d'escolta per interceptar trafico SSL VPN addicional.
  • Perfil de victimes: Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota i Siemens entre les identificades. Huntress confirma 845 organitzacions de clients afectades.
  • Actor d'amenaca: grup de parla russa. Eines Chisel i Neo-reGeorg indiquen actors sofisticats.
  • El dataset no esta als fors criminals: SOCRadar monitoritza la dark web per detectar qualsevol distribucio.

Per que FortiBleed es diferent: no es un zero-day, es la consequencia de no rotar credencials

  1. Contrasenyes mai rotades despres de bretxes previes. El 64,3% de les credencials compreses corresponen a comptes administratius generics (35%) i comptes integrades del sistema Fortinet (28,3%) mai reanomenades ni rotades des de la configuracio de fabrica.
  2. Mecanisme de xifrat obsolet. Fortinet va introduir PBKDF2 per a FortiOS 7.2.11, 7.4.8 i 7.6.1. Si el dispositiu s'actualitza des de versions anteriors, les contrasenyes existents romanen amb SHA-256 fins que l'administrador corresponent inicia sessio.
  3. Interficies de gestio exposades directament a internet. La majoria de dispositius afectats te la interficie de gestio FortiGate exposada directament a internet.
  4. Aproximadament el 50% de tots els FortiGate accessibles des d'internet estan a la base de dades.

Les instruccions d'accio immediata de la CISA per a usuaris de Fortinet

  • Finalitzar totes les sessions actives SSL VPN i d'administracio de forma immediata.
  • Rotar totes les contrasenyes VPN i d'administracio.
  • Verificar l'us de PBKDF2 per a l'emmagatzematge de credencials. En FortiOS 7.2.11, 7.4.8, 7.6.1 i versions posteriors, forcar que tots els administradors iniciïn sessio almenys una vegada.
  • Revisar els logs per accesos no autoritzats o moviment lateral.
  • Habilitar MFA resistant al phishing en tots els comptes administratius.
  • Bloquejar l'acces extern a les interficies de gestio.
  • Eliminar comptes no autoritzats i reanomenar o eliminar qualsevol compte generic amb el nom per defecte.

Lliçons clau per a organitzacions espanyoles amb FortiGate

La diferencia amb FortiBleed es que no requereix un zero-day. Nomes cal que les credencials no s'hagin rotat:

  • Auditoria immediata de credencials FortiGate.
  • Forcar PBKDF2 en tots els dispositius FortiOS actualitzables.
  • Restriccio de la interficie de gestio.
  • Comprovar si l'organitzacio esta a la filtracio amb l'eina FortiBleed lookup de Hudson Rock.
  • Si l'organitzacio esta al dataset, tractar com a incident confirmat.

La ciberseguretat com a prioritat estrategica

FortiBleed tanca el cicle d'una lliço que es repeteix al blog d'Apolo des de l'inici del juny: Palo Alto, Check Point, Cisco SD-WAN i ara Fortinet, tots compresos al mateix mes. Pero FortiBleed te un matis que els CVEs anteriors no tenen: no es pot resoldre amb un pedac. La solucio es operativa, no tecnica.

Apolo Cybersecurity: auditoria i hardening urgent d'infraestructura Fortinet davant FortiBleed

A Apolo Cybersecurity ajudem organitzacions amb FortiGate a respondre a FortiBleed: verificacio de la presencia al dataset compromet, auditoria de comptes administratius, forcament de PBKDF2, restriccio de la interficie de gestio, revisio de logs de sessions SSL VPN des de l'1 de juny i avaluacio del risc de moviment lateral.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity