ARKANET
Autor: Łukasz Lein
|
|
Publikacja: 02-07-2026
Fortinet

Kolejne ustalenia dotyczące kampanii FortiBleed pokazują jeszcze większą skalę zagrożenia. Setki tysięcy urządzeń i ponad 110 milionów wykradzionych poświadczeń. Sprawdzamy, jak działał mechanizm ataku i dlaczego problem nadal pozostaje aktualny dla wielu organizacji.

Skala kampanii większa, niż początkowo zakładano

Z najnowszych analiz wynika, że kampania FortiBleed objęła ponad 430 000 zapór FortiGate na całym świecie, a atakujący zgromadzili ponad 110 milionów danych uwierzytelniających. Operacja trwała co najmniej od lutego 2026 roku i była prowadzona przez tzw. Initial Access Brokera działającego z pobudek finansowych. 

Najbardziej intensywna faza ataku przypadła na okres od 31 maja do 15 czerwca, kiedy przeprowadzono aż 659 cykli przechwytywania danych. W tym czasie pozyskano m.in. 14,8 miliona rekordów RADIUS, 924 tysiące hashy NTLM, 130 tysięcy hashy Kerberos oraz aż 89 milionów tokenów uwierzytelniających MySQL. To liczby, które jasno pokazują, że nie był to incydent punktowy, ale szeroko zakrojona, zautomatyzowana operacja.

Jak wyglądał mechanizm ataku

Centralnym elementem kampanii było narzędzie FortigateSniffer, napisane w języku Go, które wykorzystywało natywne polecenia diagnostyczne systemu FortiOS. Dzięki temu atakujący mogli przechwytywać ruch uwierzytelniający w aż 24 różnych protokołach, działając w sposób trudny do wykrycia z poziomu standardowego monitoringu.

Przechwycone dane nie były wykorzystywane od razu. Najpierw trafiały do analizy offline, gdzie łamano hashe i przygotowywano je do dalszych ataków. Następnie były używane w kampaniach credential stuffing, co pozwoliło potwierdzić ważność 7 187 aktywnych sesji VPN. To właśnie ten etap był kluczowy, ponieważ umożliwiał przejście od pasywnego zbierania danych do realnego dostępu do środowisk organizacji.

Kulminacją operacji był incydent z 15 czerwca, kiedy to atakujący wykorzystali zdobyty dostęp do wyprowadzenia danych z infrastruktury wykonawcy sektora obronnego, korzystając z mechanizmu Distributed File System (DFS).

Kto był głównym celem ataków

Choć kampania miała globalny zasięg, szczególnie często celem były małe i średnie przedsiębiorstwa oraz firmy świadczące usługi IT. Tego typu organizacje często stanowią punkt wejścia do środowisk klientów, co znacząco zwiększa wartość przejętego dostępu. Jednocześnie przypadek sektora obronnego jasno pokazuje, że skutki takich kampanii mogą wykraczać daleko poza pierwotny cel i dotykać organizacji o strategicznym znaczeniu.

Dlaczego zagrożenie nadal jest realne

FortiBleed nie jest klasycznym incydentem związanym wyłącznie z jedną podatnością. To przykład operacji, która łączy wiele technik, od wykorzystywania wcześniej wykradzionych danych, przez brute force, aż po pasywne przechwytywanie ruchu.

Największym problemem pozostaje fakt, że wiele przejętych poświadczeń nadal może być aktywnych. Jeśli organizacje nie przeprowadziły rotacji haseł lub nie wdrożyły dodatkowych mechanizmów ochronnych, ryzyko nieautoryzowanego dostępu do ich środowisk nadal pozostaje realne.

Jak podejść do zabezpieczenia FortiGate

W kontekście FortiBleed kluczowe jest nie tylko reagowanie na podatności, ale przede wszystkim weryfikacja konfiguracji i realnego poziomu zabezpieczeń urządzeń.

Jeśli chcesz zobaczyć, jak podejść do tego w praktyce, w poprzednim artykule na ten temat przygotowaliśmy nagranie wideo, w którym krok po kroku pokazujemy, jak w prosty sposób skonfigurować FortiGate: https://arkanet.pl/baza-wiedzy/fortibleed-2026-jak-realnie-zabezpieczyc-fortigate/

Źródła:

O autorze: Łukasz Lein

Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".

Jesteśmy dla Ciebie

4.9 36 opinii
Zobacz opinie
S
Setcon
22-08-2024
Polecam firmę Arkanet. Współpraca przebiega wzorowo...
AB
Arkadiusz Burda
15-06-2023
Polecam Arkanet w 100% za indywidualne podejście do klienta, bezproblemową obsługę i dyspozycyjność, rzetelność. Obsługa posprzedażna na absolutnie najwyższym poziomie, zawsze w gotowości do pomocy.
WS
Wojciech Skopiński
23-11-2023
Polecam tą firmę za rzetelność i fachowe podejście do klienta. Indywidualnie potrafią pomóc, doradzić. Na pewno wrócę do nich. 100% polecam!
Halo. Zróbmy coś razem
Zamów rozmowę z konsultantem, oddzwonimy.
Zadaj pytanie
Potrzebujesz negocjować warunki oferty? Dodaj produkt na listę do wyceny i wyślij nam, a my sprawdzimy co możemy dla Ciebie zrobić