Masovna zlouporaba procurjelih Fortinet lozinki
.png)
FortiBleed je naziv za javno opisanu kampanju masovnog prikupljanja i zlouporabe vjerodajnica povezanih s Fortinet FortiGate firewall i SSL VPN uređajima. Prema dostupnim analizama, kampanja je zahvatila desetke tisuća Fortinet pristupnih točaka u 194 države, uključujući organizacije iz javnog sektora, telekomunikacija, financijskog sektora, zdravstva, obrazovanja, energetike i privatnog sektora.
Prema SOCRadar analizi, identificirano je 30.791 kompromitiranih uređaja, 21.108 jedinstvenih IP adresa i 8.316 jedinstvenih domena. The Hacker News je naknadno prenio Hudson Rock analizu prema kojoj je opseg kampanje veći, s 73.932 jedinstvene firewall URL adrese, 21.632 jedinstvene zahvaćene domene i 194 države, uz približno 1,16 milijardi pokušaja prijave protiv 320.777 FortiGate ciljeva.
Kampanja nije nova Fortinet zero-day ranjivost. Riječ je o zlouporabi prethodno procurjelih, ponovno upotrijebljenih ili infostealer malwareom ukradenih vjerodajnica protiv internetski izloženih Fortinet uređaja. Rizik je visok jer uspješna prijava na FortiGate ili SSL VPN uređaj može omogućiti neovlašteni pristup mrežnom perimetru, prikupljanje dodatnih vjerodajnica, lateralno kretanje i pripremu za krađu podataka ili ransomware napad.
Prema dostavljenom FortiBleed popisu, kao potencijalno zahvaćene hrvatske domene identificirane su: pulaparking.hr, italcro.hr, gradst.hr, cim.irb.hr, carnet.hr, comping.hr, marnet.hr, istranet.hr, osatina.hr, webit.hr i agg.hr. Navedene domene treba tretirati kao indikatore moguće izloženosti koji zahtijevaju hitnu tehničku provjeru, a ne kao samostalni dokaz potpune kompromitacije organizacije.
FortiBleed se razlikuje od klasičnog vendor advisory slučaja u kojem postoji jedna nova ranjivost, CVE oznaka i odgovarajuća zakrpa. Dostupne javne analize ukazuju na kampanju u kojoj napadači koriste poznate, prethodno procurjele, ponovno upotrijebljene ili ukradene vjerodajnice za pristup internetski dostupnim Fortinet FortiGate i SSL VPN sučeljima.
SOCRadar navodi da je otkriven operativni poslužitelj napadačke skupine s alatima, automatizacijom, popisom žrtava i potvrđenim korisničkim imenima i lozinkama. Napadači ne posjeduju samo statičan popis lozinki, nego automatizirano testiraju vjerodajnice, bilježe uspješne prijave i kompromitirane uređaje koriste za daljnje promatranje prometa i prikupljanje novih vjerodajnica. Novo prikupljene vjerodajnice potom se ponovno koriste u automatiziranom procesu protiv dodatnih ciljeva, stvarajući kontinuiranu petlju kompromitacije.
Važna tehnička implikacija je da složenost lozinke nije dovoljna zaštita ako je lozinka već kompromitirana u čistom tekstu, preuzeta iz starijeg curenja, izvučena iz konfiguracije, ukradena putem infostealer malwarea ili ponovno upotrijebljena na više sustava. U takvom scenariju napadač ne mora probiti lozinku, nego je koristi kao već poznatu tajnu.
The Hacker News prenosi procjenu Hudson Rocka prema kojoj je riječ o ruskojezičnoj skupini s više operatera koja provodi credential harvesting protiv Fortinet FortiGate SSL VPN uređaja. Aktivnosti se ne ograničavaju samo na provjeru lozinki. Prema javnim navodima, napadači presreću SSL VPN autentikacijski promet, koriste infrastrukturu za razbijanje hash vrijednosti i pokušavaju se kretati prema internim Active Directory okruženjima radi daljnje eksploatacije i održavanja pristupa.
Fortinet uređaji često imaju integracije s Active Directory, LDAP, RADIUS, SAML ili drugim identitetskim sustavima. Ako napadač dođe do konfiguracije uređaja ili administratorskog pristupa, može izvući servisne vjerodajnice, razumjeti mrežnu topologiju, analizirati VPN grupe i koristiti uređaj kao ulaznu točku za daljnje kretanje kroz mrežu. SentinelOne je ranije tijekom 2026. opisao povezane kampanje u kojima su FortiGate uređaji korišteni za proboj u mreže, krađu servisnih vjerodajnica i pristup Active Directory okruženjima, uključujući kreiranje novih lokalnih administratorskih računa i izvlačenje konfiguracije. Iako to nije nužno ista kampanja, tehnike su relevantne za razumijevanje postkompromitacijskog rizika.
FortiBleed treba razlikovati od zasebnih Fortinet FortiSandbox ranjivosti CVE-2026-39813, CVE-2026-39808 i CVE-2026-25089, koje se odnose na drugi Fortinet proizvod i drugi tehnički problem (path traversal i OS command injection). FortiBleed je prvenstveno kampanja zlouporabe vjerodajnica.
Potencijalni učinak uključuje neovlaštenu VPN prijavu, pristup internim servisima, kompromitaciju servisnih računa, izvoz konfiguracije, promjenu firewall pravila, stvaranje dodatnih administratorskih računa, zaobilaženje segmentacije i pripremu za daljnju eksploataciju. U okruženjima gdje Fortinet uređaji imaju pristup identitetskoj infrastrukturi ili internim administrativnim segmentima, incident treba tretirati kao potencijalnu kompromitaciju perimetra i identitetskog sloja.
• Provjeriti nalaze li se organizacijske domene, javne IP adrese ili Fortinet VPN URL adrese u FortiBleed izvorima i dostupnim threat intelligence provjerama, s posebnom pažnjom na hrvatske domene navedene u ovom dokumentu.
• Odmah rotirati sve Fortinet administratorske, VPN, lokalne, LDAP, RADIUS, SAML i servisne vjerodajnice, uključujući i složene lozinke, jer složenost ne štiti ako je lozinka već procurila.
• Prisilno odjaviti aktivne VPN sesije, opozvati trajne sesije i tokene te omogućiti MFA za sve Fortinet administratorske i VPN korisnike.
• Nadograditi Fortinet FortiOS, FortiGate i povezane komponente na aktualne verzije u skladu s Fortinet PSIRT preporukama.
• Ograničiti administratorsko sučelje Fortinet uređaja na upravljačku mrežu ili definirane IP adrese te ukloniti javno dostupna administratorska sučelja s interneta gdje god je moguće.
• Pregledati FortiGate i FortiAnalyzer logove za najmanje 90 dana, s fokusom na uspješne i neuspješne VPN prijave, administratorske prijave iz neuobičajenih država, promjene konfiguracije i stvaranje novih lokalnih korisnika.
• Provjeriti postoje li nepoznati lokalni administratorski računi, promjene firewall pravila, promjene SSL VPN portala i promjene integracija prema LDAP, RADIUS ili SAML sustavima.
• Korelirati Fortinet VPN prijave s EDR, XDR, SIEM i identitetskim logovima te u Active Directory ili Entra ID sustavu provjeriti neuobičajene prijave i moguće lateralno kretanje.
• Ako je organizacija pronađena u FortiBleed skupu podataka ili se potvrde sumnjive aktivnosti, otvoriti sigurnosni incident, očuvati logove, izraditi vremensku liniju događaja i provesti forenzičku analizu.
• https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
• https://www.hudsonrock.com/fortinet
• https://thehackernews.com/2026/06/attackers-exploit-three-fortinet.html
• https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-data-posting
• https://thehackernews.com/2026/03/fortigate-devices-exploited-to-breach.html
Budite u toku s najnovijim sigurnosnim upozorenjima, analizama i praktičnim savjetima naših stručnjaka.
