24.06.2026 09:21
FortiBleed: 74 000 паролей стали лишь частью большой атаки Опубликованная база почти с 74 000 паролей от FortiGate оказалась только следом более крупн…
FortiBleed: 74 000 паролей стали лишь частью большой атаки
Опубликованная база почти с 74 000 паролей от FortiGate оказалась только следом более крупной операции. Получив права администратора, хакеры превращали взломанные межсетевые экраны в прослушку: устройства перехватывали трафик компаний и вытаскивали из него новые пароли, хеши и токены для входа.
На FortiGate через SSH запускали FortigateSniffer, который использует штатную команду диагностики FortiOS. С мая программа отслеживала данные 24 протоколов, включая RDP, Kerberos, LDAP, SMB, почтовые сервисы и базы данных. Скрипты забирали пароли в открытом виде, хеши NTLM и Kerberos, билеты Kerberos и другие секреты. Данные от SMTP, IMAP, POP3, MySQL и RADIUS удавалось получить без подбора, когда службы передавали их без надёжной защиты.
Хеши отправляли на арендованные GPU, подбирали пароли, проверяли доступ в сетях жертв и выставляли рабочие учётные данные на продажу. Fortinet не связывает кампанию с новой уязвимостью и считает, что атакующие использовали данные прежних инцидентов и слабые пароли на устройствах без двухфакторной защиты. Владельцам FortiGate советуют срочно сменить пароли, закрыть внешний доступ к панели управления и проверить журналы входов.
#кибербезопасность #Fortinet #FortiGate
@SecLabNews
Опубликованная база почти с 74 000 паролей от FortiGate оказалась только следом более крупной операции. Получив права администратора, хакеры превращали взломанные межсетевые экраны в прослушку: устройства перехватывали трафик компаний и вытаскивали из него новые пароли, хеши и токены для входа.
На FortiGate через SSH запускали FortigateSniffer, который использует штатную команду диагностики FortiOS. С мая программа отслеживала данные 24 протоколов, включая RDP, Kerberos, LDAP, SMB, почтовые сервисы и базы данных. Скрипты забирали пароли в открытом виде, хеши NTLM и Kerberos, билеты Kerberos и другие секреты. Данные от SMTP, IMAP, POP3, MySQL и RADIUS удавалось получить без подбора, когда службы передавали их без надёжной защиты.
Хеши отправляли на арендованные GPU, подбирали пароли, проверяли доступ в сетях жертв и выставляли рабочие учётные данные на продажу. Fortinet не связывает кампанию с новой уязвимостью и считает, что атакующие использовали данные прежних инцидентов и слабые пароли на устройствах без двухфакторной защиты. Владельцам FortiGate советуют срочно сменить пароли, закрыть внешний доступ к панели управления и проверить журналы входов.
#кибербезопасность #Fortinet #FortiGate
@SecLabNews