FortiBleed: expuestas credenciales de administrador de 75.000 firewalls Fortinet
Un grupo cibercriminal ruso obtuvo configuraciones de FortiGate a nivel mundial, crackeó contraseñas con un clúster de 45 GPUs y publicó accesos administrativos de firewalls en 194 países.
Qué pasó
Un grupo cibercriminal de habla rusa logró obtener archivos de configuración de aproximadamente 75.000 firewalls FortiGate en 194 países. A partir de esos archivos, extrajeron hashes de contraseñas de administrador y los crackearon utilizando un clúster de 45 GPUs vía Hashtopolis.
El resultado: acceso administrativo directo a decenas de miles de firewalls corporativos, incluyendo dispositivos de empresas como Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture y Oracle, además de entidades gubernamentales y de infraestructura crítica.
El investigador Volodymyr Diachenko hizo la divulgación pública en LinkedIn, y la autenticidad fue confirmada por Kevin Beaumont y el equipo de Hudson Rock.
Impacto en números
75K
Firewalls comprometidos
FortiGate en 194 países
1.16B
Intentos brute-force
Contra 320K+ FortiGate
2.1B
Ataques a MSSQL
160K+ instancias SQL Server
50%
Cobertura global
De FortiGate expuestos a Internet
Cadena de ataque
Crítico
Exportación de configuraciones FortiGate
Los atacantes obtuvieron archivos de backup/configuración de los firewalls (método aún no confirmado). Estos archivos contienen hashes de credenciales de administrador.
Crítico
Crackeo masivo con 45 GPUs
Utilizaron un clúster Hashtopolis para recuperar contraseñas en texto plano desde hashes SHA-256 con sal. Firmware anterior a 2025 usa hashing débil (SHA-256); versiones nuevas usan PBKDF2.
Crítico
Acceso administrativo a interfaces de gestión
Con las credenciales recuperadas, accedieron a la interfaz administrativa de firewalls expuestos a Internet. Desde ahí realizaron movimiento lateral hacia Active Directory.
Atención
Persistencia establecida
Los atacantes crearon mecanismos de acceso persistente en los dispositivos comprometidos, lo que significa que cambiar la contraseña sola no es suficiente.
Info
Dataset distinto al leak de Belsen Group
Los investigadores confirmaron que estos datos son diferentes al leak de 2022 (15.000 dispositivos). Se trata de una campaña reciente con indicadores de compromiso actuales.
Organizaciones afectadas confirmadas
Crítico
Empresas Fortune 500
Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle — configuraciones y credenciales expuestas.
Crítico
Gobiernos e infraestructura crítica
Entidades gubernamentales y operadores de infraestructura crítica en múltiples países afectados.
Atención
73.932 URLs únicas + 21.632 dominios
El dataset incluye metadatos enriquecidos: nombre de empresa, facturación, ubicación — formato típico de mercado cibercriminal.
Acciones inmediatas recomendadas
- Rotar TODAS las contraseñas de administrador de FortiGate inmediatamente — no reutilizar contraseñas anteriores.
- Actualizar FortiOS a la última versión disponible. Las versiones posteriores a 2025 usan PBKDF2, mucho más resistente al crackeo.
- Después de actualizar, iniciar sesión como admin para forzar el re-hash de credenciales con PBKDF2 (no se aplica automáticamente).
- Activar MFA en todas las cuentas con acceso administrativo al firewall.
- Eliminar acceso directo a Internet de la interfaz de gestión del FortiGate. Acceder solo por VPN o red interna.
- Revisar logs de autenticación buscando sesiones administrativas no autorizadas.
- Auditar cuentas y configuraciones — buscar usuarios nuevos no reconocidos, reglas de firewall modificadas y mecanismos de persistencia.
- Si se confirma compromiso, considerar reemplazo del dispositivo — un firewall comprometido no se puede considerar confiable.
Recomendación DBYTE
Si tu empresa usa FortiGate con la interfaz de gestión expuesta a Internet, asumí que podés estar afectado. En DBYTE trabajamos con firewalls Fortinet y podemos ayudarte a auditar tu configuración, verificar si tus credenciales fueron comprometidas, hardening del dispositivo y migrar la gestión a acceso seguro por VPN.
Solicitar auditoría FortiGate