Una filtració de dades recentment descoberta, anomenada «FortiBleed», ha exposat el que sembla ser una col·lecció de credencials VPN de Fortinet i FortiGate per a 73.932 URL de tallafocs en organitzacions de tot el món.

Les dades exposades van ser descobertes per primera vegada per l’investigador de seguretat Bob Diachenko, que diu que va trobar un servidor que contenia el que semblaven ser credencials vàlides de Fortinet VPN, inclosos noms d’usuari, adreces de correu electrònic i contrasenyes de text sense format.

Segons les captures de pantalla i la informació compartida per Diachenko, la base de dades conté entrades de Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid i moltes altres.

«S’ha descobert una campanya massiva d’explotació activa/força bruta de Fortinet/FortiGate en acció», va publicar Diachenko a LinkedIn.

«Milers d’instàncies de proveïdors importants apareixen en fitxers com aquest (vegeu la captura de pantalla). Només aquest té 21.634 noms de domini, des de Chevron fins al mateix Fortinet. Tots, amb contrasenyes potencialment funcionals per als dispositius FortiGate obtingudes a través de diversos mètodes.»

Les dades exposades també incloïen comentaris que enumeraven la indústria, els ingressos i el nombre d’empleats de cada organització, probablement per planificar atacs.

Diachenko, més tard, va compartir informació addicional que afirmava que l’operació va ser duta a terme per un grup d’amenaces multioperador de parla russa que recopilava credencials per a dispositius VPN SSL FortiGate.

Segons la investigació de Diachenko, els atacants presumptament van dur a terme aproximadament 1.160 milions d’intents de credencials contra 320.777 objectius FortiGate i 2.100 milions d’intents addicionals contra 163.650 sistemes Microsoft SQL Server.

A més, va afirmar que els actors d’amenaça van interceptar hashes d’autenticació VPN SSL, els van desxifrar mitjançant un clúster de 45 GPU gestionat a través de Hashtopolis i van utilitzar les credencials recuperades per moure’s lateralment a entorns interns d’Active Directory.

Diachenko va dir a BleepingComputer que va obtenir aquestes dades després d’analitzar fitxers addicionals exposats accidentalment al mateix servidor.

«Accidentalment, van deixar un directori obert amb artefactes, cadenes de connexió, eines, scripts i dades en línia. Analítica obtinguda a través de les seves tasques cron, historials de bash, registres, etc.», va explicar Diachenko.

L’investigador també va declarar que diverses organitzacions del Japó, Taiwan, Vietnam, Iraq i Turquia estaven completament compromeses, inclòs un contractista de defensa turc de l’OTAN del qual presumptament es van robar documents classificats.

Des d’aleshores, l’empresa d’intel·ligència d’amenaces Hudson Rock va publicar la seva pròpia anàlisi de les dades exposades després de rebre el conjunt de dades de Diachenko. L’empresa va descriure la recopilació com un dels tresors coneguts més grans de credencials compromeses relacionades amb Fortinet.

Segons Hudson Rock, el conjunt de dades conté 73.932 URL de tallafocs únics a 194 països i afecta 21.632 dominis únics.

L’empresa diu que els atacants van mantenir registres detallats de les intrusions reeixides i van muntar una base de dades que conté credencials verificades per a organitzacions de gairebé tots els sectors industrials principals.

Entre les organitzacions que Hudson Rock diu que apareixen al conjunt de dades hi ha Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle i nombroses agències governamentals i operadors d’infraestructures crítiques.

L’empresa també va publicar estadístiques que mostren que el nombre més elevat de dispositius afectats es va trobar a l’Índia, els Estats Units, Taiwan, Mèxic, Turquia, Tailàndia, Colòmbia, Malàisia, Xile i els Emirats Àrabs Units.

Els sectors més comuns per a les empreses que cotitzen en borsa són les telecomunicacions, els serveis informàtics, els serveis financers, les organitzacions governamentals, els proveïdors d’atenció mèdica, les institucions educatives i la indústria manufacturera.

Un aspecte estrany de la filtració és que moltes de les credencials exposades eren contrasenyes llargues i complexes que normalment es considerarien difícils de desxifrar.

Es creu que s’ha extret de les configuracions de Fortinet

L’investigador de ciberseguretat Kevin Beaumont va revisar de manera independent parts de les dades exposades i va dir a BleepingComputer que algunes de les credencials són autèntiques.

«He pogut confirmar l’autenticitat d’alguns dels inicis de sessió i contrasenyes d’administrador; això sembla un autèntic abocador», va dir Beaumont.

Després d’una revisió més detallada de les dades compartides per Hudson Rock, Beaumont va publicar troballes addicionals tot indicant que el conjunt de dades conté credencials per a aproximadament 75.000 dispositius Fortinet, la majoria dels quals romanen en línia.

Segons Beaumont, les dades semblen haver-se originat a partir de configuracions de Fortinet exportades perquè contenen informació, incloent-hi adreces de correu electrònic, que normalment només és accessible a través de les configuracions.

També va dir que les adreces IP afectades són diferents de les que hi havia a la Filtració de Fortinet del Grup Belsen del 2025, la qual cosa indica que es tracta d’un conjunt de dispositius compromesos més recent i més gran.

Beaumont va dir que va verificar que diverses organitzacions que figuren al conjunt de dades utilitzaven credencials vàlides i va observar que molts dispositius afectats executaven versions relativament recents de FortiOS.

«Les dades són legítimes. Són al voltant de 75.000 dispositius. Gairebé tots encara estan en línia, i també dispositius Fortinet. Sembla que són dades recents», va escriure Beaumont.

Basant-se en dades de xarxa de Shodan, Beaumont diu que la filtració conté aproximadament la meitat de tots els tallafocs Fortinet accessibles a Internet i va dir que la majoria dels dispositius afectats exposen les seves interfícies de gestió FortiGate directament a Internet.

L’origen de les dades de configuració continua sent desconegut, i no queda clar si van ser robades a través de vulnerabilitats de Fortinet revelades anteriorment, una falla descoberta recentment o un altre mètode. Ni Diachenko, Hudson Rock ni Beaumont han identificat com es van obtenir originalment les dades de configuració.

Hudson Rock ha creat un lloc gratuït FortiBleed lookup tool per comprovar si la teva organització està afectada.

Les organitzacions del conjunt de dades haurien de rotar immediatament les contrasenyes associades a la VPN de Fortinet i a les interfícies administratives, aplicar l’MFA, examinar els registres de la passarel·la per detectar activitats sospitoses i controlar les credencials dels empleats exposades.

BleepingComputer va contactar amb Fortinet sobre el conjunt de dades exposat i actualitzarà aquest article si rebem una resposta.