Angripare har stulit inloggningsuppgifter från mer än 30 000 Fortinet-enheter i en kampanj som nu spåras under namnet FortiBleed. Operationen använde brute-force och credential-stuffing mot FortiGate-brandväggar och Fortinet VPN-endpoints, vilket exponerade 73 932 unika FortiGate-brandväggsadresser och drabbade 21 632 företagsdomäner. Det framgår av Recorded Futures analys publicerad i juni 2026.
Reuters rapporterade den 17 juni 2026 att Fortinet erkänt kampanjen och uppgett att den riktar sig mot företagets brandväggar och VPN-produkter. Målet är inte att slå ut system utan att skaffa autentiserad åtkomst till interna nätverk, vilket gör hotet svårare att upptäcka och betydligt mer långvarigt än en traditionell ransomware-attack.
Så fungerar kampanjen
Det finns inga offentliggjorda CVE kopplade till FortiBleed. Angriparna utnyttjar alltså inte en programvarusårbarhet. De testar kombinationer av kända inloggningsuppgifter, standardlösenord och tidigare läckta användarnamn och lösenord mot internetexponerade Fortinet-enheter tills något fungerar. Det är credential stuffing i en av sina mest industrialiserade former.
Forskning från Kudelski Securitys visar att kampanjen överlappar med aktivt utnyttjande av befintliga Fortinet-sårbarheter. Det tyder på att åtminstone vissa angripare har kombinerat åtkomst via inloggningsuppgifter med kända men ännu inte åtgärdade sårbarheter för att få ett djupare fotfäste i sina målmiljöer. Bitsights analys identifierade de exponerade brandväggarnas URL genom att skanna efter offentligt åtkomliga administrationsgränssnitt. Det ger en rimlig bild av attackytan, även om det exakta antalet komprometterade system fortfarande är en uppskattning från de företag som upptäckte kampanjen.
När angriparna väl är inne har de autentiserad VPN-åtkomst. Det innebär att de kan röra sig lateralt i målorganisationens nätverk med legitima inloggningsuppgifter och därmed kringgå de flesta perimeterförsvar helt.
Om attribuering: var försiktig
Underlaget som ligger till grund för den här artikeln hävdar att kampanjens omfattning och sofistikering tyder på inblandning från både kriminella aktörer och statsstödda aktörer. Det är dock inte attribuering. Det är en hypotes presenterad som analys, och den kommer från källor som har kommersiella incitament att beskriva hot som så allvarliga som möjligt. Ingen myndighet, inklusive CISA, NCSC eller ENISA, har vid publiceringstillfället attribuerat FortiBleed till någon aktör. Påståenden om statlig inblandning bör därför betraktas som obekräftade tills en förhandskälla med relevant mandat presenterar belägg för sådana slutsatser.
Det som siffrorna däremot bekräftar, utan att någon attribuering behövs, är att detta är en storskalig och professionellt organiserad operation. Credential stuffing i den här omfattningen, med 73 932 exponerade brandväggs-URL, sker inte utan verktyg, infrastruktur och tid.
Citatet Fortinet inte borde ha publicerat
Fortinets uttalande om att kampanjen ”berör nästan varje sektor i den globala ekonomin och inte lämnar någon bransch opåverkad” är den sortens språk som hör hemma i marknadsföringsmaterial snarare än i säkerhetsrådgivning. Det ger administratörer inget konkret att agera på och förstärker bilden av allvarlighetsgraden bortom vad de bekräftade fakta faktiskt stödjer.
De bekräftade fakta är redan tillräckligt allvarliga. 30 000 komprometterade enheter och 21 632 drabbade företagsdomäner är en betydande incident oavsett måttstock. Den behöver inte förstärkas ytterligare.
Patchstatus och omedelbara åtgärder
Eftersom FortiBleed bygger på åtkomst via inloggningsuppgifter, snarare än en opatchad sårbarhet, räcker det inte att patcha för att stänga exponeringen. Den omedelbara prioriteringen är god hantering av inloggningsuppgifter, inte en programvaruuppdatering.
Rotera alla administrativa inloggningsuppgifter på FortiGate-brandväggar och Fortinet VPN-endpoints nu. Prioritera alla konton som har varit i bruk i mer än sex månader, alla delade konton och alla konton där lösenordet matchar inloggningsuppgifter som används i andra system. Utgå från att alla internetexponerade FortiGate-administrationsgränssnitt utan MFA aktiverat har varit måltavlor.
Aktivera multifaktorautentisering för all Fortinet-administration och VPN-åtkomst om det inte redan är på plats. Kontrollera om ert administrationsgränssnitt är åtkomligt från internet. Om det är det, begränsa åtkomsten till kända IP-intervall via brandväggsregler eller flytta administrationen helt från det internetexponerade gränssnittet.
Granska VPN-autentiseringsloggar för de senaste 60 dagarna. Leta efter lyckade inloggningar från okända geografiska platser, inloggningar utanför normal arbetstid eller kontoaktivitet som föregick att en känd skadlig IP-adress dök upp i hotunderrättelseflöden. En lyckad credential stuffing-inloggning ser identisk ut med en legitim inloggning i loggarna. Avvikelserna finns i tidpunkt, geografi och efterföljande lateral rörelse, inte i själva autentiseringshändelsen.
CybelAngel och Recorded Future har båda publicerat indikatorer på kompromettering och listor över exponerade URL kopplade till FortiBleed. Om er organisation har en hotunderrättelseprenumeration hos någon av dessa aktörer, hämta dessa flöden och jämför dem med er egen tillgångsinventering före arbetsdagens slut.
Referenser
- Fortinet says credential-harvesting campaign is targeting its firewalls and VPN
- FortiBleed Campaign Exposing Credentials for 73,932 FortiGate Firewalls
- FortiBleed Fortinet VPN Credentials and Firewall Exposed
- 6 Things to Know About the FortiBleed Credential Campaign
- Fortinet FortiBleed Global Compromise and Active Exploitation of Fortinet Vulnerabilities
- FortiBleed Exposes Global Credential-Spraying Operation
This post is also available in:
English
