FortiBleed espone credenziali VPN di decine di migliaia di dispositivi

Una nuova esposizione massiva di dati sta scuotendo la comunità della sicurezza informatica.

Il caso, denominato FortiBleed, riguarda un archivio contenente credenziali VPN e amministrative associate a decine di migliaia di dispositivi FortiGate.

La scoperta è attribuita al ricercatore Bob Diachenko, che ha individuato un server esposto con nomi utente, indirizzi e-mail e password in chiaro. Il dataset conterrebbe informazioni relative a oltre 73.000 URL di firewall distribuiti in 194 Paesi, rendendolo uno degli incidenti più rilevanti mai registrati nell’ecosistema Fortinet.

Dimensioni dell’operazione e infrastruttura degli attaccanti

I file analizzati rivelano un’attività su scala industriale.

Secondo Diachenko, gli operatori avrebbero effettuato circa 1,16 miliardi di tentativi di autenticazione contro dispositivi FortiGate e oltre 2 miliardi contro server Microsoft SQL Server esposti in rete.

L’infrastruttura impiegata includeva un cluster di 45 GPU gestito tramite Hashtopolis, piattaforma open source per il password cracking distribuito. Una volta ottenute le credenziali, gli attaccanti avrebbero tentato di espandere l’accesso verso ambienti interni e sistemi Active Directory.

Il ricercatore Kevin Beaumont ha verificato in modo indipendente alcune credenziali amministrative presenti nel dataset, giudicando credibile l’intero archivio. Beaumont ha stimato che il materiale riguardi circa 75.000 dispositivi Fortinet, molti dei quali ancora raggiungibili online.

Un elemento che ha sorpreso gli analisti è la complessità delle password trovate: lunghe e articolate, indicano che il problema non dipende da credenziali deboli. Se i dati derivassero da file di configurazione sottratti, gli aggressori avrebbero ottenuto accesso a informazioni già validate, rendendo superfluo qualsiasi attacco di forza bruta tradizionale. Il confronto con la fuga di dati attribuita al gruppo Belsen del 2025 mostra differenze significative negli IP coinvolti, suggerendo che FortiBleed sia un insieme di compromissioni distinto e più recente.

Settori colpiti e misure urgenti da adottare

L’analisi di Hudson Rock descrive il dataset come una delle più grandi raccolte di credenziali Fortinet mai osservate, con oltre 21.000 domini unici coinvolti.

I Paesi con il maggior numero di dispositivi esposti includono India, Stati Uniti, Taiwan, Messico e Turchia. I settori più colpiti spaziano dalle telecomunicazioni alla finanza, dalla pubblica amministrazione alla sanità, con una distribuzione che suggerisce una raccolta opportunistica su larga scala piuttosto che una campagna mirata.

Gli specialisti raccomandano alle organizzazioni che utilizzano apparati Fortinet di procedere immediatamente alla rotazione delle credenziali VPN e amministrative, verificare i log di autenticazione e analizzare attività anomale da IP insoliti. È fondamentale abilitare l’autenticazione multifattore e accertarsi che le interfacce di gestione non siano esposte pubblicamente.