FortiBleed kampány
Az Arctic Wolf jelentése szerint egy nagyszabású, FortiBleed kampány során támadók több mint 194 országban internet felől elérhető Fortinet eszközöket kompromittáltak. A művelet korábban javított CVE-2024-55591 és CVE-2025-24472 sérülékenységeket használja ki, amelyek segítségével a támadók hitelesítés nélküli hozzáférést szerezhettek FortiGate tűzfalakhoz és VPN-rendszerekhez. A kampány különlegessége, hogy a támadók a kezdeti hozzáférés után nem azonnali károkozásra törekedtek, hanem hosszú távú perzisztenciát alakítottak ki.
Az Arctic Wolf több mint 17 000 kompromittált eszközt azonosított, ahol a támadók rejtett adminisztrátori fiókokat hoztak létre, SSH-kulcsokat telepítettek és módosították a konfigurációkat annak érdekében, hogy a frissítések vagy jelszócserék után is vissza tudjanak térni. A fertőzések jelentős része kritikus infrastruktúrákat, kormányzati szervezeteket, egészségügyi intézményeket és vállalati hálózatokat érintett. A kutatók szerint több esetben kínai kötődésű kiberkémkedési aktivitásra utaló jeleket is találtak.
A sérülékenységek javítása önmagában nem feltétlenül elegendő. Azoknál a rendszereknél, amelyeket a javítás telepítése előtt kompromittáltak, a támadók által létrehozott adminisztrátori fiókok és SSH-hozzáférések a patch után is megmaradhattak. Emiatt a Fortinet-eszközök frissítését követően teljes konfiguráció- és fiókaudit szükséges, különösen a VPN-, adminisztrátori és SSH-beállítások területén.
A hálózatperem-védelmi eszközök stratégiai jelentőségűek, egy kompromittált FortiGate nem csupán egyetlen rendszer feletti kontrollt jelent, hanem közvetlen rálátást biztosíthat a teljes vállalati hálózatra, a VPN-forgalomra és a hitelesítési folyamatokra is, ezért ezek az eszközök továbbra is a kiberkémkedési és állami hátterű műveletek elsődleges célpontjai közé tartoznak.
