En brandvägg som läste sin egen trafik
Detaljen som skiljer FortiBleed från en rutinmässig varning är var inloggningsuppgifterna kom ifrån. Ett skräddarsytt verktyg som forskarna kallar FortigateSniffer missbrukar FortiOS egen inbyggda paketdiagnoskommando, samma funktion som en administratör använder för felsökning, för att passivt fånga upp autentiseringstrafik över ungefär två dussin protokoll. Ingen ny sårbarhet krävs. Enheten som såldes för att vakta perimetern blev instrumentet som läste inloggningarna som passerade den.
SOCRadar spårade operationen in i ransomware-territorium efter att ha hittat en enda operatör inloggad i förhandlingspanelerna hos både INC Ransom och Lynx samtidigt. CISA uppmanade organisationer att härda Fortinet-enheter den 18 juni, efter de första rapporterna om exponerade inloggningsuppgifter, och Fortinets eget produktsäkerhetsteam publicerade en analys av intrånget.
Siffrorna bakom kampanjen
Tidiga rapporter från Recorded Future och Help Net Security satte exponeringen nära 74.000 FortiGate-system. Senare analys från SOCRadar vidgade bilden till 430.000 angripna enheter, ungefär hälften av all internetvänd Fortinet-hårdvara, och 86.644 verifierade fungerande inloggningsuppgifter över 194 länder. En korsreferens av FortiBleed-servrarna mot en separat INC-kopplad öppen katalog fann samma offerorganisationer spårade i båda datamängderna, signaturen för en delad försörjningskedja.
Minst 12 bekräftade ransomware-utrullningar kan redan spåras direkt till FortiBleed-åtkomsten, med hundratals krypterade slutpunkter. INC Ransom har varit aktiv sedan juli 2023 och har tagit på sig mer än 800 offer, vilket gör den till en av de mest produktiva ransomware-as-a-service-operationerna efter bekräftat antal. Skörden av inloggningsuppgifter är inte en varning om vad som skulle kunna hända; den är framänden på attacker som redan inträffat.
Patchning är inte lösningen den här gången
Eftersom ingången är en giltig behörighet och inte en opatchad brist, misslyckas den vanliga reflexen. En FortiGate med senaste fast programvara och ett exponerat VPN-konto är fortfarande en öppen dörr, och den förblir öppen tills det kontot roteras. De nödvändiga åtgärderna är rotation av behörigheter på varje brandväggs- och VPN-konto, flerfaktorsautentisering påtvingad på fjärråtkomst, och den diagnostiska paketfångsten avstängd eller noga övervakad där den inte behövs.
Det säkra antagandet för varje enhet i den exponerade uppsättningen är att dess behörigheter har läckt och att den bör behandlas som komprometterad tills motsatsen är bevisad. Det formar om arbetet från en patchcykel till en identitetssanering, som är långsammare, mindre tillfredsställande och det enda som faktiskt stänger dörren.
Enligt NIS2 är klockan din
För europeiska operatörer är den regulatoriska eggen skarp. Enligt NIS2 är en incident som når ditt nätverk via en tredje parts kantenhet din rapporteringspliktiga händelse, med en tidig varning inom 24 timmar och en fylligare underrättelse inom 72. Finansiella företag bär de parallella skyldigheterna enligt DORA. Ansvaret ligger inte hos Fortinet eller hos ransomware-ligan; det ligger hos organisationen som drabbades.
Det KPI som betyder något nu är inte om brandväggen är patchad utan hur snabbt varje behörighet på den kan roteras. Team som redan antar att deras kantinloggningar har läckt, och som kan bevisa rotation och MFA på begäran, är de som inte kommer att läsa sitt eget namn i nästa ransomware-inlägg.
Läs vidare: En förfalskad token öppnar varje pc verktyget styr | En AI koerde sjalv ett helt ransomware-angrepp



