Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
To nie pierwszy raz, kiedy urządzenia mające gwarantować bezpieczeństwo sieci stały się “główną furtką” do uzyskania nieuprawnionego dostępu. Najsmutniejsze w tym wszystkim jest to, że cyberprzestępcy nie używali nawet skomplikowanych eksploitów. Wystarczyło masowe skanowanie internetu, wyciągnięcie plików konfiguracyjnych i klaster złożony z kilkudziesięciu kart graficznych. Efekt – ponad 73 tysiące firewalli firmy Fortinet zostało przejętych.
TLDR:
Ujawniona baza danych odsłania kulisy masowej operacji – ochrzczonej mianem FortiBleed, którą jako pierwszy wykrył badacz bezpieczeństwa Volodymyr “Bob” Diachenko. Następnie zespół analityków z Hudson Rock oraz Kevin Beaumont poddali szczegółowej analizie działania cyberprzestępców.

Za atakiem stoi rosyjskojęzyczna grupa cyberprzestępcza dysponująca rozproszoną infrastrukturą obliczeniową. W jej skład wchodził klaster złożony z 45 kart graficznych, zarządzany za pomocą platformy Hashtopolis. Dzięki niej cyberzbóje mogli efektywnie “łamać hasła” dysponując jedynie ich kryptograficznym skrótem.
Zgodnie z ustaleniami badaczy, cyberprzestępcy wykorzystali automatyczne narzędzia do skanowania internetu w poszukiwaniu urządzeń Fortinet, których panele zarządzania były wystawione do sieci. Następnie, korzystając z niezałatanych podatności wykradali pliki konfiguracyjne, co w konsekwencji pozwoliło na wyciągnięcie hashy haseł.
Dysponując takim materiałem nic nie stało na przeszkodzie, aby wrzucić pozyskane dane do Hashtopolisa i cierpliwie poczekać na wyniki. W tym miejscu cyberprzestępcy mogli czuć się spokojni, działania te realizowane były w trybie offline, a co za tym idzie mechanizmy monitorujące liczbę nieudanych prób logowania (rate-limiting) nie mają znaczenia.


Na pierwszy rzut oka hasła wydają się bardzo skomplikowane, niemożliwe do złamania na sprzęcie posiadanym przez cyberprzestępców (nawet w przypadku algorytmu md5 lub SHA-256). A co za tym idzie droga prowadząca do ich złamania musiała być inna niż zwykły brute force. I tak rzeczywiście było. Pomocne okazały się stealery oraz specjalnie przygotowane słowniki, budowane na bazie przechwyconych haseł.
Zapewne czujne oko zauważy, że jedno z haseł (gwm1607pmwgwm1607pmwgwm1607pmw) składa się z dwóch słów kodowych oraz ciągu cyfr powtórzonych trzykrotnie. Dla tak skonstruowanego hasła atak mógłby wyglądać nieco inaczej. Wystarczyłby odpowiedni słownik, zestaw reguł oraz odrobina szczęścia, aby na domowym sprzęcie odnieść sukces.
Zgodnie z oszacowaniem badaczy, podjętych zostało ponad 1,16 miliarda prób przełamania zabezpieczeń przeciwko ~320 tysiącom systemów FortiGate. W efekcie przejętych zostało łącznie 73 932 unikalnych adresów URL firewalli w 194 krajach, co przekłada się na ~21,5 tysiąca unikalnych domen. Aby lepiej zobrazować skalę działań (jak zauważył ekspert Beaumont), liczba ta przekłada się na około 50% wszystkich urządzeń Fortinet wystawionych bezpośrednio do internetu.
Cyberprzestępcy nie poprzestali na samym odzyskaniu haseł. Ich celem było uzyskanie stałego przyczółka w infrastrukturze użytkownika na potrzeby przyszłych działań. Ustrukturyzowany charakter opublikowanej bazy danych, w których cele są posortowane według branż, lokalizacji i przychodów firmy sugeruje, że za operacją stoją tzw. Initial Access Brokers. Grupy tego typu oferują gotowy dostęp do danej infrastruktury na czarnym rynku za co otrzymują wynagrodzenie.
Zgodnie z informacjami przekazanymi przez badaczy, potwierdzone incydenty wystąpiły m.in. na terenie USA, Tajwanu, Indii, Meksyku, Francji, Hiszpanii, Turcji. Dotknęły głównie przedsiębiorstwa z sektora IT, telekomunikacyjnego, finansowego, a także instytucje rządowe. Najbardziej niepokojący jest przypadek tureckiego kontrahenta NATO, z którego systemów wykradziono niejawne dokumenty.


Kluczowym elementem, który przyczynił się do powodzenia tej operacji, był przede wszystkim przestarzały mechanizm przechowywania poświadczeń. Algorytm SHA-256 pozwala na łatwe zrównoleglenie obliczeń, a co za tym idzie, atakujący byli w stanie sprawdzać kilkanaście GH/s (miliard hashy na sekundę). Dysponując odpowiednimi słownikami (zasilonymi hasłami z wycieków), odzyskanie haseł nie stanowiło większego wyzwania – stąd taka wysoka skuteczność ataku.
Fortinet wymienił sposób przechowywania haseł na początku 2025 r. przechodząc na znacznie bezpieczniejszą i trudniejszą do złamania funkcję PBKDF2. W ramach kontrastu, liczba hashy sprawdzanych w ciągu jednej sekundy spada w jego przypadku z miliardów do zaledwie kilkunastu lub kilkuset H/s, w zależności od użytej karty graficznej.
Niemniej jednak, jeżeli w grę wchodzi malware wykradający poświadczenia bezpieczeństwa, postać i skomplikowanie haseł nie ma większego znaczenia. W takich scenariuszach jedynym skutecznym sposobem na ochronę systemów jest stosowanie uwierzytelniania wieloskładnikowego (MFA).
Źródło: hudsonrock.com
~_secmike
Czy znaleźliście gdzieś informację czy urządzenia bez wystawionego do internetu panelu zarządzania też były podatne na włamanie?
Skanowali w poszukiwaniu panelu zarządzania? Po co go “wystawiać” na świat. Czy przez portal ssl-vpn też byli w stanie cos zrobić?
ufff… Jak to dobrze, że mój sprzęt jest odpowiednio zabezpieczony… inaczej mówiąc… sprzęt jest odłączony od sieci internet i od zasilania… :D
W ostatnim czasie odnotowano wiele przypadków włamań do polskich urzędów, o których media nie informują. Problem ten pozostaje w dużej mierze niezauważony, mimo że może mieć poważne konsekwencje dla bezpieczeństwa danych obywateli oraz funkcjonowania administracji publicznej. Nikt nie raportuje takich incydentów.
Dlaczego skoro sie wyklyczylo Huaweia, ktoremu nic nie udowodniono, nie mozna wykluczyc FortiHole?
Cześć,
Ekipo Sekuraka,
warto zaktualizować info biorąc pod uwagę, że z ostatnich doniesień tego jest 430tys FG + 110mln credentials, nawiązuję do dwóch dodatkowych artykułów + opisują kilka szczegółów dodatkowo
https://thehackernews.com/2026/06/fortibleed-targeted-fortigate-firewalls.html
https://www.bleepingcomputer.com/news/security/fortibleed-campaign-used-custom-fortigate-sniffer-to-steal-credentials/