CISA предупредила о глобальной активности против доступных из интернета устройств Fortinet. В сообщении фигурируют утёкшие данные примерно 74 000 устройств, включая межсетевые экраны и SSL VPN-шлюзы. Кампания получила название FortiBleed.

≈74Kустройств связаны с утечкой credentials
EDGEfirewall и VPN находятся на границе доверия
NOWсессии и секреты требуют немедленной ротации

Почему простой reset не закрывает инцидент

Если сначала поменять пароль, но оставить активные сессии, старые токены или неизвестные административные аккаунты, злоумышленник может пережить ротацию. Edge-компрометацию нужно рассматривать как полноценный incident response: ограничить доступ, сохранить evidence, завершить сессии, отозвать токены и только затем менять секреты.

Правильный порядок действий

  1. Ограничить административный интерфейс allowlist-ом и убрать его из публичного доступа.
  2. Зафиксировать конфигурацию, список администраторов, активные сессии и журналы до очистки.
  3. Завершить SSL VPN и административные сессии, отозвать API-токены и сертификаты, которым нельзя доверять.
  4. Сменить локальные, LDAP/RADIUS и сервисные credentials, проверить повторное использование паролей.
  5. Обновить FortiOS и связанные компоненты до поддерживаемых версий.
  6. Проверить новые политики, маршруты, automation stitches, scheduled tasks и неожиданные изменения конфигурации.
Практический вывод: edge-устройство после утечки следует считать потенциально захваченным, пока журналы и конфигурация не докажут обратное. Ротация credentials — часть процесса, а не весь процесс.

Что контролировать после восстановления

Полезны алерты на административный вход с нового ASN, создание пользователей, экспорт конфигурации, изменение VPN-политик и внезапный рост исходящих соединений. Если журналы хранились только на самом устройстве, их доказательная ценность ограничена: критические edge-логи стоит отправлять на независимый collector.

Первоисточник: CISA — Fortinet credential exposure. Текст Virusologia является самостоятельным аналитическим материалом.