Kolejne ustalenia dotyczące kampanii FortiBleed pokazują jeszcze większą skalę zagrożenia. Setki tysięcy urządzeń i ponad 110 milionów wykradzionych poświadczeń. Sprawdzamy, jak działał mechanizm ataku i dlaczego problem nadal pozostaje aktualny dla wielu organizacji.
Skala kampanii większa, niż początkowo zakładano
Z najnowszych analiz wynika, że kampania FortiBleed objęła ponad 430 000 zapór FortiGate na całym świecie, a atakujący zgromadzili ponad 110 milionów danych uwierzytelniających. Operacja trwała co najmniej od lutego 2026 roku i była prowadzona przez tzw. Initial Access Brokera działającego z pobudek finansowych.
Najbardziej intensywna faza ataku przypadła na okres od 31 maja do 15 czerwca, kiedy przeprowadzono aż 659 cykli przechwytywania danych. W tym czasie pozyskano m.in. 14,8 miliona rekordów RADIUS, 924 tysiące hashy NTLM, 130 tysięcy hashy Kerberos oraz aż 89 milionów tokenów uwierzytelniających MySQL. To liczby, które jasno pokazują, że nie był to incydent punktowy, ale szeroko zakrojona, zautomatyzowana operacja.
Jak wyglądał mechanizm ataku
Centralnym elementem kampanii było narzędzie FortigateSniffer, napisane w języku Go, które wykorzystywało natywne polecenia diagnostyczne systemu FortiOS. Dzięki temu atakujący mogli przechwytywać ruch uwierzytelniający w aż 24 różnych protokołach, działając w sposób trudny do wykrycia z poziomu standardowego monitoringu.
Przechwycone dane nie były wykorzystywane od razu. Najpierw trafiały do analizy offline, gdzie łamano hashe i przygotowywano je do dalszych ataków. Następnie były używane w kampaniach credential stuffing, co pozwoliło potwierdzić ważność 7 187 aktywnych sesji VPN. To właśnie ten etap był kluczowy, ponieważ umożliwiał przejście od pasywnego zbierania danych do realnego dostępu do środowisk organizacji.
Kulminacją operacji był incydent z 15 czerwca, kiedy to atakujący wykorzystali zdobyty dostęp do wyprowadzenia danych z infrastruktury wykonawcy sektora obronnego, korzystając z mechanizmu Distributed File System (DFS).
Kto był głównym celem ataków
Choć kampania miała globalny zasięg, szczególnie często celem były małe i średnie przedsiębiorstwa oraz firmy świadczące usługi IT. Tego typu organizacje często stanowią punkt wejścia do środowisk klientów, co znacząco zwiększa wartość przejętego dostępu. Jednocześnie przypadek sektora obronnego jasno pokazuje, że skutki takich kampanii mogą wykraczać daleko poza pierwotny cel i dotykać organizacji o strategicznym znaczeniu.
Dlaczego zagrożenie nadal jest realne
FortiBleed nie jest klasycznym incydentem związanym wyłącznie z jedną podatnością. To przykład operacji, która łączy wiele technik, od wykorzystywania wcześniej wykradzionych danych, przez brute force, aż po pasywne przechwytywanie ruchu.
Największym problemem pozostaje fakt, że wiele przejętych poświadczeń nadal może być aktywnych. Jeśli organizacje nie przeprowadziły rotacji haseł lub nie wdrożyły dodatkowych mechanizmów ochronnych, ryzyko nieautoryzowanego dostępu do ich środowisk nadal pozostaje realne.
Jak podejść do zabezpieczenia FortiGate
W kontekście FortiBleed kluczowe jest nie tylko reagowanie na podatności, ale przede wszystkim weryfikacja konfiguracji i realnego poziomu zabezpieczeń urządzeń.
Jeśli chcesz zobaczyć, jak podejść do tego w praktyce, w poprzednim artykule na ten temat przygotowaliśmy nagranie wideo, w którym krok po kroku pokazujemy, jak w prosty sposób skonfigurować FortiGate: https://arkanet.pl/baza-wiedzy/fortibleed-2026-jak-realnie-zabezpieczyc-fortigate/
Źródła:
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".




