FortiBleed kampány

Editors' Pick

Az Arctic Wolf jelentése szerint egy nagyszabású, FortiBleed kampány során támadók több mint 194 országban internet felől elérhető Fortinet eszközöket kompromittáltak. A művelet korábban javított CVE-2024-55591 és CVE-2025-24472 sérülékenységeket használja ki, amelyek segítségével a támadók hitelesítés nélküli hozzáférést szerezhettek FortiGate tűzfalakhoz és VPN-rendszerekhez. A kampány különlegessége, hogy a támadók a kezdeti hozzáférés után nem azonnali károkozásra törekedtek, hanem hosszú távú perzisztenciát alakítottak ki.

Az Arctic Wolf több mint 17 000 kompromittált eszközt azonosított, ahol a támadók rejtett adminisztrátori fiókokat hoztak létre, SSH-kulcsokat telepítettek és módosították a konfigurációkat annak érdekében, hogy a frissítések vagy jelszócserék után is vissza tudjanak térni. A fertőzések jelentős része kritikus infrastruktúrákat, kormányzati szervezeteket, egészségügyi intézményeket és vállalati hálózatokat érintett. A kutatók szerint több esetben kínai kötődésű kiberkémkedési aktivitásra utaló jeleket is találtak.

A sérülékenységek javítása önmagában nem feltétlenül elegendő. Azoknál a rendszereknél, amelyeket a javítás telepítése előtt kompromittáltak, a támadók által létrehozott adminisztrátori fiókok és SSH-hozzáférések a patch után is megmaradhattak. Emiatt a Fortinet-eszközök frissítését követően teljes konfiguráció- és fiókaudit szükséges, különösen a VPN-, adminisztrátori és SSH-beállítások területén.

A hálózatperem-védelmi eszközök stratégiai jelentőségűek, egy kompromittált FortiGate nem csupán egyetlen rendszer feletti kontrollt jelent, hanem közvetlen rálátást biztosíthat a teljes vállalati hálózatra, a VPN-forgalomra és a hitelesítési folyamatokra is, ezért ezek az eszközök továbbra is a kiberkémkedési és állami hátterű műveletek elsődleges célpontjai közé tartoznak.

A Hudson Rock elemzése szerint a FortiBleed kampány léptéke még a korábbi becsléseket is meghaladja: a kutatók több mint 75 000 kompromittált Fortinet tűzfalat azonosítottak, amelyekhez támadók tartós hozzáférést alakítottak ki. A valódi probléma nem maga a kezdeti kompromittálás, hanem az azt követő perzisztencia. A támadók adminisztrátori fiókokat, SSH-kulcsokat és konfigurációs módosításokat helyeztek el az eszközökön, amelyek sok esetben a javítások telepítése után is megmaradtak.

A Hudson Rock különösen arra hívja fel a figyelmet, hogy a kompromittált eszközök jelentős része nagyvállalatokhoz, kormányzati szervekhez, pénzügyi intézményekhez és kritikus infrastruktúrákhoz kapcsolódik. A kutatók több mint 16 000 olyan eszközt találtak, amelyeken továbbra is aktív vagy potenciálisan visszaállítható támadói hozzáférés nyomai láthatók. A kampány földrajzilag szinte globális: az Egyesült Államok, India, Brazília, Németország és Franciaország szerepel a leginkább érintett országok között.

FORRÁS – Arctic Wolf

FORRÁS – Hudson Rock