Přejít na hlavní obsah
CIAD

FortiBleed: únik hesel z tisíců firemních VPN bran, CISA vydala výstrahu

Kampaň FortiBleed zasáhla 73 932 až 86 644 Fortinet zařízení ve 194 zemích. CISA varuje od 18. 6. 2026.

Dne 18. 6. 2026 vydala americká agentura pro kybernetickou bezpečnost CISA (Cybersecurity and Infrastructure Security Agency) výstrahu reagující na kampaň označenou jako FortiBleed. Při ní došlo k masivnímu úniku funkčních přihlašovacích údajů z Fortinet FortiGate firewallů a SSL VPN bran. SSL VPN (Virtual Private Network) je technologie umožňující zaměstnancům bezpečné vzdálené připojení do firemní sítě přes internet.

Bezpečnostní výzkumník Volodymyr „Bob” Diachenko objevil nezabezpečený server, na němž byly tato živá hesla uložena. Různé zdroje uvádějí rozsah zasažených zařízení mezi přibližně 73 932 a 86 644 kusů ve 194 zemích. Mezi kompromitovanými subjekty jsou dle dostupných informací velké korporace, tisíce vládních entit a údajně i dodavatel NATO.

Jak útok fungoval a proč je nebezpečný

Aktéři přisuzovaní rusky mluvícímu prostředí zacílili na SSL VPN autentizaci, tedy proces ověřování identity při vzdáleném přístupu. Po zachycení přihlašovacích toků přistoupili k prolomení hesel na GPU clusteru (výpočetní farma pro hromadné lámání hesel) a využili získaný přístup k průniku do navazující Active Directory infrastruktury (centrální správa uživatelů a počítačů ve firmě). Analýza uniklých dat ukazuje, že zhruba 35 % kompromitovaných účtů tvoří generické administrátorské účty a přibližně 28 % vestavěné systémové účty Fortinet.

FortiBleed nemá přiřazeno vlastní CVE číslo. CVE (Common Vulnerabilities and Exposures) je mezinárodní registr softwarových zranitelností; absence CVE zde znamená, že nejde o chybu v kódu, ale o důsledek slabých konfigurací, opakovaného používání hesel a nedostatečného zabezpečení vzdálených přístupů. Útočníci tyto slabiny systematicky zneužívají v kombinaci s technikami offline prolomení hesel.

Dopad pro českou veřejnou správu a střední podniky je přímý: FortiGate a Fortinet SSL VPN jsou v tuzemsku velmi rozšířeny. Kompromitovaný administrátorský přístup k perimetrovému prvku (zařízení na hranici firemní sítě) otevírá cestu k přenastavení bezpečnostních pravidel, zachycení šifrovaného provozu nebo zavedení trvalého skrytého přístupu.

Co máte udělat hned

  • Bezprostředně ukončete veškeré aktivní VPN sessions a vyžádejte opětovné přihlášení.
  • Resetujte hesla pro všechny administrátorské i systémové účty na Fortinet zařízeních; věnujte zvláštní pozornost generickým a vestavěným účtům.
  • Nasaďte phishing-resistant MFA (vícefaktorové ověření odolné vůči phishingu, například FIDO2 nebo hardwarový token) pro veškerý vzdálený přístup.
  • Omezte přístup k management rozhraní pouze na dedikované administrátorské sítě; SSL VPN management nevystavujte do internetu bez nutnosti.
  • Prověřte logy autentizace za posledních 90 dní na neobvyklé přihlášení, laterální pohyb (šíření útočníka uvnitř sítě) nebo změny konfigurace.

Co z toho plyne

FortiBleed ukazuje, že útočníci nepotřebují sofistikovanou softwarovou zranitelnost: stačí špatná konfigurace a slabá hesla. Pokud vaše firma používá Fortinet zařízení pro vzdálený přístup, je okamžitá kontrola hesel a přístupových pravidel nezbytností, nikoli volbou. Máte-li otázky nebo potřebujete pomoc s prověrkou, ozvěte se na office@ciad.cz.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog