Firewall to urządzenie, które ma chronić całą sieć — dlatego dostęp administratora do niego jest jednym z najcenniejszych łupów, jakie napastnik może zdobyć. 18 czerwca 2026 niezależni badacze ujawnili kampanię o nazwie FortiBleed, w ramach której do sieci wyciekły działające dane logowania administratorów do około 75 tysięcy firewalli Fortinet FortiGate. Sprawę nagłośnił Bob Diachenko, który natknął się na otwarty serwer pełen loginów, adresów e-mail i haseł w postaci jawnej, a potwierdził ją Kevin Beaumont, analizując zbiór razem z firmami Hudson Rock i Hunt Intelligence. Wniosek jest niewygodny: dane są prawdziwe, świeże i dotyczą mniej więcej połowy wszystkich urządzeń FortiGate wystawionych dziś do internetu.
Co dokładnie wyciekło
Zbiór obejmuje 73 932 unikalne adresy firewalli rozsiane po 194 krajach i powiązane z ponad 21 tysiącami domen. Na liście pojawiają się nazwy globalnych firm — między innymi Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture i Oracle — a także agencje rządowe oraz operatorzy infrastruktury krytycznej. Beaumont osobiście sprawdził dane logowania w kilku organizacjach i potwierdził, że nadal działają.
Kluczowy szczegół: dane nie pochodzą z prostego podsłuchania ruchu logowania, lecz z wyeksportowanych konfiguracji samych urządzeń. Plik konfiguracyjny FortiGate zawiera informacje, których nie da się zdobyć z zewnątrz — to oznacza, że na pewnym etapie napastnicy mieli realny dostęp do urządzeń. W jaki sposób go uzyskali, wciąż nie wiadomo: mogła to być jedna z licznych znanych luk Fortinet albo coś zupełnie nowego.
Jak działali napastnicy
Przestępcy popełnili błąd, który pozwolił zajrzeć im przez ramię — zostawili w sieci otwarty katalog z własnymi narzędziami, skryptami i logami. Wynika z nich, że stała za tym zorganizowana, rosyjskojęzyczna grupa. Skala jest ogromna: około 1,16 miliarda prób logowania wymierzonych w ponad 320 tysięcy urządzeń FortiGate oraz dodatkowe 2,1 miliarda prób przeciwko serwerom Microsoft SQL Server.
Sednem ataku było łamanie haseł. Napastnicy przechwytywali skróty (hashe) uwierzytelniania z VPN-ów SSL i rozszyfrowywali je przy pomocy klastra 45 kart graficznych. Tu pojawia się ważna lekcja dla administratorów Fortinet: producent przeszedł na mocniejsze przechowywanie haseł (PBKDF2) w aktualizacjach z początku 2025 roku, ale tylko na tych urządzeniach, na których administrator faktycznie zalogował się po aktualizacji. Wiele firewalli wciąż trzymało hasła w starszym formacie SHA-256 z solą, który da się złamać metodą brute force z wykradzionego pliku konfiguracji.
Dlaczego to tak groźne
Sposób, w jaki uporządkowano dane, zdradza prawdziwy cel. Każdy wpis zawiera branżę firmy, jej przychody, liczbę pracowników i kraj — to nie układ na własny użytek, lecz gotowy katalog sprzedażowy typowy dla handlu „początkowym dostępem” w środowisku cyberprzestępczym. Innymi słowy, zbiór został przygotowany do odsprzedaży lub skoordynowanego ataku przez cały zespół.
Konsekwencje są poważne. Napastnik z takimi danymi może zdalnie zalogować się do firewalla, a przez niego wejść do całej sieci za nim, zmienić ustawienia bezpieczeństwa i założyć ukryte konta administracyjne. W kilku przypadkach — w Japonii, na Tajwanie, w Wietnamie, Iraku i Turcji — organizacje opisano jako w pełni przejęte; z jednego z tureckich kontrahentów obronnych NATO miały zostać wykradzione poufne dokumenty.
Co zrobić
Jeśli zarządzasz urządzeniem Fortinet, potraktuj swoje dane logowania jako potencjalnie skompromitowane i działaj jak przy realnym włamaniu. Natychmiast zmień hasła wszystkich kont administracyjnych. Sprawdź logi pod kątem nieoczekiwanych, udanych logowań na konta administratora oraz nieznanych kont, które mogły zostać dodane. Zaktualizuj FortiOS do najnowszej wersji i pamiętaj, by po aktualizacji ponownie zalogować się na każde konto — dopiero to wymusza przejście na mocniejsze przechowywanie haseł.
Najważniejsze działanie zapobiegawcze to zdjęcie panelu zarządzania z internetu. Interfejs administracyjny firewalla nie powinien być dostępny publicznie — ogranicz go do sieci wewnętrznej lub VPN-u zarządzającego. Na wszystkich kontach administratorów włącz uwierzytelnianie wieloskładnikowe (MFA), bo nawet skradzione hasło staje się wtedy bezużyteczne. Hudson Rock udostępnił darmowe narzędzie pod adresem hudsonrock.com/fortinet, w którym można sprawdzić, czy własna domena znalazła się w wyciekniętym zbiorze.
Podsumowanie
FortiBleed pokazuje, że urządzenia brzegowe — firewalle, VPN-y, bramy — stały się jednym z głównych celów cyberprzestępców, bo jeden przejęty firewall otwiera drzwi do całej sieci. Słabe lub stare przechowywanie haseł, wystawiony do internetu panel administracyjny i brak MFA to dziś przepis na katastrofę. Jeśli korzystasz z FortiGate, nie czekaj na potwierdzenie, że jesteś na liście: zmień hasła, schowaj zarządzanie za VPN i włącz MFA już teraz. W świecie, w którym hasła łamie się klastrem kart graficznych, drugi składnik logowania bywa ostatnią linią obrony.