Pomoc zdalna
Pomoc zdalna
2026-06-24

Luka w FortiGate umożliwia kradzież 110 mln danych logowania

W ostatnich tygodniach odkryto poważną lukę w FortiGate, która umożliwiła kradzież rekordowej liczby 110 milionów danych logowania. To krytyczne zagrożenie dotyczy serii firewalli Fortinet używanych w wielu firmach i organizacjach. Eksploatacja tej luki pozwala atakującym na zdalne pozyskanie poufnych informacji bez autoryzacji, co stanowi realne ryzyko dla bezpieczeństwa całej infrastruktury.

Jeśli nie zabezpieczysz swojego sprzętu, możesz narazić się na wyciek danych, przejęcie kontroli nad urządzeniem, a w konsekwencji poważne przestoje i straty finansowe. Luka nabiera szczególnego znaczenia teraz, gdy cyberprzestępcy uruchomili kampanię masowego zbierania credentiali.

Co to za podatność i jak działa

Ta luka w FortiGate to błąd w mechanizmie obsługi żądań w urządzeniach Fortinet. Atakujący musi mieć dostęp do interfejsu zarządzania firewallem, czyli najczęściej publicznie wystawionego panelu administracyjnego. Po odpowiednim spreparowaniu zapytania można pobrać z pamięci urządzenia ogromną liczbę danych uwierzytelniających użytkowników i administratorów.

W praktyce atakujący wykorzystuje niedostateczną walidację zapytań HTTP(S) i brakujący mechanizm ograniczenia dostępu do poufnych informacji. Do przeprowadzenia ataku nie są wymagane wysokie uprawnienia, ponieważ luka działa na poziomie exploita webowego. Według ocen CVSS mamy do czynienia z krytyczną podatnością o wysokim wektorze (prawdopodobnie 9+). Eksploatacja daje pełny dostęp do danych loginów, haseł oraz tokenów sesji.

Które systemy i wersje są podatne

Podatność dotyczy wielu wersji systemu FortiOS wykorzystywanego na firewallach FortiGate. Lista podatnych wersji jest szeroka, ale kluczowe to:

  • FortiOS 6.0.x do 6.4.x (niektóre podwersje)
  • FortiOS 7.0.x do 7.2.x

Sprawdzisz wersję na urządzeniu logując się do CLI i wpisując komendę:

get system status

należy zweryfikować numer wersji i zastosować dostępne poprawki. W panelu webowym wersja widoczna jest w zakładce Dashboard.

Czy ktoś już to wykorzystuje — aktywna eksploatacja

Potwierdzono, że luka w FortiGate jest już aktywnie exploitowana. Grupy hakerskie korzystają z automatycznych skanerów, aby znaleźć podatne urządzenia, a następnie masowo wykradają dane logowania. Wykryto kampanię nazwano FortiBleed, podczas której skradziono ponad 110 milionów credentiali.

Nie ma jeszcze publicznego, szczegółowego exploita, ale narzędzia zostały już opracowane na potrzeby kampanii. Wskaźniki kompromitacji obejmują zwiększony ruch HTTP(S) do nietypowych endpointów na portalu zarządzania oraz pojawiające się nietypowe zapytania w logach firewalli.

Jak się zabezpieczyć — krok po kroku

  1. Sprawdź wersję FortiOS poleceniem get system status.
  2. Pobierz najnowszą aktualizację FortiOS z https://support.fortinet.com.
  3. Zainstaluj patch zgodnie z instrukcją producenta na wszystkich urządzeniach.
  4. Zrestartuj usługę webowego panelu zarządzania lub cały firewall.
  5. Ogranicz dostęp do interfejsu zarządzania wyłącznie do zaufanych adresów IP.
  6. Włącz monitorowanie nietypowego ruchu sieciowego i logów pod kątem wzorców ataku.

Jeśli aktualizacja jest niedostępna, natychmiast zablokuj dostęp do panelu admina z internetu i zastosuj firewall na poziomie sieci blokujący podejrzany ruch.

Co się stanie jeśli nie zareagujesz

Brak reakcji oznacza realne ryzyko przejęcia danych uwierzytelniających, co pozwoli hakerom na dostęp do Twojej sieci firmowej. Może dojść do eskalacji uprawnień i instalacji ransomware, a w konsekwencji do poważnych przestojów w pracy i utraty danych.

Wycieki danych są też powodem sankcji RODO, zwłaszcza jeśli w bazach znajdują się dane osobowe klientów. Straty finansowe i wizerunkowe mogą być ogromne.

Rekomendacje dla firm i administratorów

  • Natychmiastowa weryfikacja i aktualizacja wszystkich urządzeń Fortinet.
  • Wdrożenie zasad ograniczania dostępu do paneli administracyjnych.
  • Regularne monitorowanie logów i ruchu sieciowego pod kątem anomalii.
  • Szkolenia świadomościowe dla zespołów IT w zakresie incydentów bezpieczeństwa.
  • Zgłoszenie ścisłej współpracy z BOIT, który pomaga MSP wdrażać i monitorować poprawki.

Źródła

Bartłomiej Ożóg
Bartłomiej Ożóg