De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft er donderdag bij Fortinet-klanten met FortiGate-apparaten op aangedrongen stappen te ondernemen ter bescherming tegen aanhoudende kwaadaardige activiteiten gericht op duizenden internettoegankelijke apparaten.
De grootschalige campagne, die vermoedelijk het werk is van Russischsprekende dreigingsactoren, heeft de codenaam gekregen FortiBleed. Het aantal gecompromitteerde apparaten bedraagt op 19 juni 2026 86.644.
Volgens gegevens van SOCRadar vormen generieke beheerdersaccounts (35%) en ingebouwde Fortinet-systeemaccounts (28,3%) samen het merendeel van de gecompromitteerde inloggegevens. Organisatiespecifieke accounts zijn verantwoordelijk voor 36,7% van de overige geschonden inloggegevens.
“Dit wijst rechtstreeks op een wijdverbreid onvermogen om standaardaccounts te hernoemen of fabrieksreferenties te wijzigen, waardoor de aanvaller een zeer betrouwbare doelwitlijst krijgt voordat er zelfs maar brute kracht nodig is”, aldus SOCRadar.
“Organisatiespecifieke accounts bovenaan de lijst zijn aanzienlijk. Het betekent dat de aanvaller niet alleen standaardreferenties verzamelt, maar ook met succes accounts heeft gecompromitteerd die door de organisaties zelf zijn gemaakt, mogelijk afkomstig van eerdere inbreuken waarbij wachtwoorden nooit zijn gewijzigd.”
Telecom, overheid en onderwijs zijn naar voren gekomen als de drie belangrijkste getroffen sectoren, met de meeste risico’s in India, de VS, Mexico, Colombia en Thailand.
De dreigingsactor zou het internet massaal hebben gescand op Fortinet-eindpunten voor inloggen op afstand, en vervolgens een op maat gemaakte tool hebben gebruikt om die geïdentificeerde eindpunten te besproeien met bekende login- en wachtwoordcombinaties in een poging om daar in te breken.
De volledig geautomatiseerde aanval is opgebouwd rond een zichzelf onderhoudende tweestapsaanpak:
- De bedreigingsacteur probeert een samengestelde lijst met gelekte Fortinet-wachtwoorden op apparaten op internet te verzamelen.
- Zodra toegang is verkregen, monitoren ze passief het netwerkverkeer dat door de apparaten gaat om extra inloggegevens te verzamelen, die vervolgens worden gebruikt om meer apparaten in gevaar te brengen.
De inloggegevens zijn legitiem en geldig, waarbij de aanvallers ze allemaal verifiëren voordat ze worden toegevoegd aan een database met bevestigde, werkende logins.
“De omvang van deze inbreuk treft bijna elke sector van de wereldeconomie en spaart geen enkele industrie”, aldus Hudson Rock. “De bedreigingsactoren hebben een geverifieerde database met werkreferenties opgebouwd voor enkele van de grootste ondernemingen ter wereld.”
Het Britse National Cyber Security Center (NCSC) heeft FortiBleed omschreven als een wereldwijde campagne die zich richt op internetgerichte Fortinet-firewalls en VPN-gateways met behulp van methoden als brute force, woordenboekaanval en het vullen van inloggegevens.
Er wordt vermoed dat de bedreigingsactoren waarschijnlijk misbruik hebben gemaakt van oudere hashmechanismen voor inloggegevens en de manier waarop inloggegevens historisch zijn opgeslagen in FortiGate-configuratiebestanden om de grootschalige aanval uit te voeren.
“Fortinet introduceerde op PBKDF2 gebaseerde wachtwoordhashing voor beheerdersreferenties in FortiOS 7.2.11, 7.4.8 en 7.6.1, ter vervanging van het oudere op SHA-256 gebaseerde opslagmechanisme”, aldus Arctic Wolf. “Bij het upgraden van eerdere versies blijven bestaande beheerderswachtwoorden echter opgeslagen als SHA-256-hashes totdat de corresponderende beheerder na de upgrade succesvol inlogt.”
“Als gevolg hiervan blijven veel organisaties waarschijnlijk beheerdersreferenties opslaan met behulp van oudere SHA-256 met Salt-hashing-mechanismen.”
In een verklaring gedeeld met The Hacker News zei een woordvoerder van Fortinet dat “de betrokken gegevens waarschijnlijk het opnieuw delen van gegevens van eerdere incidenten zijn, evenals het brute forceren van inloggegevens, en niet gerelateerd zijn aan enig huidig incident of advies”, waarbij hij er bij organisaties op aandringt om best practices te volgen, waaronder het regelmatig wisselen van beveiligingsreferenties en het mogelijk maken van multi-factor authenticatie (MFA).
CISA heeft de volgende aanbevelingen geformuleerd ter verdediging tegen de activiteit:
- Beëindig alle actieve SSL VPN- en beheerderssessies, reset alle Fortinet VPN- en beheerderswachtwoorden, vooral op internetgerichte systemen, en dwing een sterk wachtwoordbeleid af.
- Zorg ervoor dat het PBKDF2-algoritme (Password-Based Key Derivation Function 2) wordt gebruikt om beheerdersreferenties op te slaan en zwakkere verouderde hashes te verwijderen.
- Controleer firewall-, VPN-, authenticatie- en domeincontrollerlogboeken op tekenen van verdachte acties, waaronder ongeautoriseerde configuratiewijzigingen.
- Schakel phishing-bestendige MFA in op alle externe gateways en administratieve interfaces.
- Verklein het aanvalsoppervlak en vergrendel het beheer.
Het FortiBleed-incident kwam vorige week voor het eerst aan het licht nadat beveiligingsonderzoeker Volodymyr “Bob” Diachenko een server ontdekte met de database met werkende inloggegevens voor duizenden firewalls en VPN-gateways in 194 landen. Volgens SOCRadar heeft de server ook de tools en automatiseringsscripts van de aanvaller geënsceneerd.
De bevindingen laten eens te meer zien hoe kwaadwillende actoren misbruik kunnen maken van hergebruik van inloggegevens en slechte wachtwoordhygiëne, om nog maar te zwijgen van het feit dat perimeterbeveiligingsapparatuur een lucratief doelwit blijft voor het verkrijgen van initiële toegang tot bedrijfsomgevingen.
