86 000 учетных данных Fortinet VPN скомпрометированы: что делать корпоративным пользователям

Более 86 000 учетных данных брандмауэров и VPN-шлюзов Fortinet FortiGate были скомпрометированы в масштабной атаке, которую исследователи называют FortiBleed. Обнаруженная в июне 2026 года операция сформировала верифицированную базу данных, содержащую более 86 644 подтвержденных рабочих учетных данных, собранных из интернет-доступной инфраструктуры Fortinet в 194 странах. 18 июня 2026 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило экстренное предупреждение с требованием немедленно принять меры. Для организаций, использующих FortiGate VPN для удаленного доступа, окно возможностей для реагирования до того, как злоумышленники углубятся в корпоративную сеть, крайне мало.

Что такое FortiBleed - и чем он не является

FortiBleed - не одна вновь обнаруженная уязвимость. Это операционная кампания, объединившая три метода атаки: повторное использование учетных данных из предыдущих утечек, взлом хешей SHA-256 с использованием кластера из 45 GPU и масштабные атаки методом перебора. По оценкам исследователей, отслеживающих операцию, злоумышленники совершили примерно 1,16 миллиарда попыток ввода учетных данных против 320 777 интернет-доступных устройств FortiGate, прежде чем собрали верифицированный набор данных.

По данным исследователей, операцию проводила русскоязычная многооператорная группа угроз. Присутствие тоннелирующих инструментов, связанных с государственными структурами, - в частности Chisel и Neo-reGeorg - в соответствующей деятельности по эксплуатации свидетельствует о том, что база учетных данных используется не только низкоуровневыми преступниками. Опытные, хорошо обеспеченные ресурсами субъекты угроз также используют тот же набор данных для проведения целенаправленных вторжений в сети правительств и объекты критической инфраструктуры.

Утечка данных, включающая учетные данные администраторов и конфигурационную информацию VPN, по имеющимся сведениям, циркулирует в криминальном подполье. Поскольку устройства FortiGate служат шлюзом периметра для корпоративных сетей, скомпрометированные учетные данные предоставляют злоумышленникам аутентифицированный доступ к внутренним системам без необходимости эксплуатировать какие-либо дополнительные уязвимости.

Масштаб: половина всех интернет-доступных устройств FortiGate

Независимые исследователи безопасности, сравнившие набор данных FortiBleed с данными Shodan, оценивают, что скомпрометированные учетные данные охватывают примерно 50 процентов всех брандмауэров Fortinet, доступных из интернета. 86 644 затронутых системы распределены по 194 странам, включая сети правительственных ведомств, медицинских организаций, финансовых учреждений и операторов критической инфраструктуры.

Более ранние сообщения BleepingComputer и Help Net Security оценивали первоначальное количество устройств примерно в 73 000 по данным раннего анализа набора данных. Последующая проверка дополнительными командами безопасности, в том числе технический бюллетень Bitdefender, подтвердила более высокую цифру - свыше 86 000. Расхождение отражает продолжающуюся работу по дедупликации по мере того, как исследователи сверяют несколько источников циркулирующих данных.

Почему VPN FortiGate является высокоценной целью

Устройства FortiGate входят в число наиболее широко применяемых межсетевых экранов периметра в корпоративных средах по всему миру. Многие организации настраивают их в качестве основного SSL VPN-шлюза для удаленного доступа сотрудников, что делает их намеренно доступными из интернета. Эта доступность обусловлена операционной необходимостью, однако она также означает, что данные устройства подвергаются полноценным автоматизированным атакам и масштабному тестированию учетных данных.

Сочетание большой поверхности атаки, распространенности учетных данных по умолчанию или повторно используемых учетных данных и высокой ценности того, что находится за скомпрометированным устройством FortiGate, делает инфраструктуру Fortinet постоянным приоритетным объектом для организованных групп угроз. FortiBleed - не первая массовая кампания по компрометации учетных данных, направленная против устройств Fortinet: аналогичная утечка в начале 2024 года раскрыла учетные данные примерно с 15 000 систем FortiGate с использованием той же методологии повторного использования и перебора.

Экстренные рекомендации CISA

В предупреждении CISA от 18 июня говорится, что агентство осведомлено о глобальных сообщениях о том, что злоумышленники атакуют доступные из интернета устройства Fortinet, используя скомпрометированные учетные данные. Предупреждение не приписывает кампанию конкретному актору, связанному с государством, однако рекомендуемые действия указывают на срочность, характерную для активной эксплуатации.

Конкретные рекомендации CISA включают: немедленно завершить все активные VPN-сессии и принудительно выполнить повторную аутентификацию; сбросить все учетные данные администратора и VPN-пользователей; проверить журналы доступа на признаки несанкционированного доступа, необычного тайминга сессий или вновь созданных учетных записей администратора; убедиться, что пароли администратора хранятся с использованием алгоритма PBKDF2; включить стойкую к фишингу многофакторную аутентификацию (MFA) для всех VPN-подключений; ограничить доступ к интерфейсу управления только внутренними или специализированными сетями управления.

Для организаций, которые не могут немедленно выполнить все шаги, CISA выделяет завершение сессий и сброс учетных данных в качестве наиболее критических первоначальных действий - в частности потому, что злоумышленники с действительными учетными данными могут сохранять устойчивость даже после блокировки базового метода получения учетных данных.

Что это значит для безопасности VPN в целом

FortiBleed наглядно демонстрирует наиболее фундаментальный риск в архитектуре периметра VPN: учетные данные и есть периметр. В отличие от уязвимостей прикладного уровня, требующих разработки технических эксплойтов, компрометация учетных данных требует лишь знания действительного имени пользователя и пароля. Никакой цикл исправлений, никакой реагирование на уязвимости нулевого дня, никакое правило брандмауэра не способно остановить попытку входа с использованием легитимных учетных данных.

Именно это является движущим аргументом в пользу перехода отрасли к архитектуре Zero Trust, при которой аутентифицированный доступ к VPN-шлюзу автоматически не предоставляет доступ к внутренним ресурсам. В соответствии с принципами Zero Trust каждый запрос доступа к приложению проходит независимую проверку с использованием строгой аутентификации вне зависимости от того, откуда поступил запрос - изнутри или снаружи корпоративного периметра. FortiBleed - это практический пример того, почему данный архитектурный сдвиг важен.

Для организаций, еще не перешедших на путь Zero Trust, практические немедленные меры реагирования одинаковы вне зависимости от архитектуры: MFA для всего VPN-доступа, активный мониторинг журналов и регулярный сброс учетных данных, не ожидающий подтвержденного взлома.