Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Năm đã kêu gọi các khách hàng của Fortinet đang sử dụng thiết bị FortiGate thực hiện các biện pháp thắt chặt bảo mật để chống lại các hoạt động độc hại đang diễn ra nhắm vào hàng nghìn thiết bị có thể truy cập công khai qua internet.
Chiến dịch quy mô lớn này, được cho là do các tác nhân đe dọa nói tiếng Nga thực hiện, đã được đặt mã định danh là FortiBleed. Tính đến ngày 19 tháng 6 năm 2026, số lượng thiết bị bị xâm nhập đã lên tới 86.644.
Thống kê từ SOCRadar: Sự thất bại trong việc quản trị tài khoản
Theo dữ liệu từ SOCRadar, các tài khoản admin thông thường (35%) và các tài khoản hệ thống Fortinet tích hợp sẵn (28,3%) chiếm đa số trong số các thông tin đăng nhập bị rò rỉ. Các tài khoản đặc thù của tổ chức chiếm 36,7% còn lại trong số các thông tin bị vi phạm.
"Điều này chỉ trực tiếp đến một sự thất bại trên diện rộng trong việc đổi tên các tài khoản mặc định hoặc thay đổi mật khẩu gốc (factory credentials), mang lại cho kẻ tấn công một danh sách mục tiêu cực kỳ đáng tin cậy ngay cả trước khi cần thực hiện brute-force," SOCRadar cho biết.
"Việc các tài khoản đặc thù của tổ chức đứng đầu danh sách là một dấu hiệu quan trọng. Nó có nghĩa là kẻ tấn công không chỉ thu thập thông tin đăng nhập mặc định mà còn xâm nhập thành công các tài khoản do chính các tổ chức tạo ra, có khả năng được lấy từ các vụ rò rỉ trước đó nơi mật khẩu chưa bao giờ được thay đổi."
Viễn thông, chính phủ và giáo dục là ba lĩnh vực chịu ảnh hưởng nặng nề nhất, với số lượng thiết bị lộ lọt nhiều nhất nằm ở Ấn Độ, Hoa Kỳ, Mexico, Colombia và Thái Lan.
Cơ chế tấn công tự động của FortiBleed
Tác nhân đe dọa được cho là đã quét hàng loạt (mass-scan) internet để tìm các điểm cuối (endpoints) đăng nhập từ xa của Fortinet, sau đó sử dụng một công cụ tùy chỉnh để thực hiện rải (spray) các tổ hợp tên đăng nhập và mật khẩu đã biết vào các điểm cuối này nhằm đột nhập vào hệ thống.
Cuộc tấn công hoàn toàn tự động này được xây dựng dựa trên cách tiếp cận hai bước tự duy trì:
- Kẻ tấn công thử nghiệm một danh sách chọn lọc các mật khẩu Fortinet bị rò rỉ đối với các thiết bị trên internet.
- Sau khi giành được quyền truy cập, chúng sẽ giám sát thụ động lưu lượng mạng đi qua thiết bị để thu thập thêm thông tin đăng nhập, sau đó được sử dụng để xâm nhập nhiều thiết bị hơn.
Các thông tin đăng nhập này là chính xác và hợp lệ, kẻ tấn công đã xác minh từng thông tin một trước khi đưa chúng vào cơ sở dữ liệu các tài khoản đăng nhập đang hoạt động.
"Quy mô của vụ rò rỉ này chạm đến hầu hết mọi lĩnh vực của nền kinh tế toàn cầu, không bỏ sót bất kỳ ngành công nghiệp nào," Hudson Rock nhận định. "Các tác nhân đe dọa đã xây dựng được một cơ sở dữ liệu xác thực về các thông tin đăng nhập đang hoạt động của một số doanh nghiệp lớn nhất hành tinh."
Trung tâm An ninh mạng Quốc gia Vương quốc Anh (NCSC) đã mô tả FortiBleed là một chiến dịch toàn cầu nhắm vào các firewall và VPN gateway của Fortinet hướng ra internet bằng các phương pháp như brute-force, dictionary attack và credential stuffing.
Lỗ hổng từ cơ chế băm mật khẩu cũ
Người ta nghi ngờ rằng các tác nhân đe dọa có thể đã khai thác các cơ chế băm (hashing) thông tin đăng nhập cũ và cách thức các thông tin này được lưu trữ trong các file cấu hình FortiGate để thực hiện cuộc tấn công quy mô lớn này.
"Fortinet đã giới thiệu cơ chế băm mật khẩu dựa trên PBKDF2 cho các tài khoản quản trị viên trong FortiOS 7.2.11, 7.4.8 và 7.6.1, thay thế cho cơ chế lưu trữ dựa trên SHA-256 cũ," Arctic Wolf cho biết. "Tuy nhiên, khi nâng cấp từ các phiên bản cũ hơn, mật khẩu quản trị viên hiện có vẫn được lưu trữ dưới dạng mã băm SHA-256 cho đến khi quản trị viên tương ứng đăng nhập thành công sau khi nâng cấp."
"Kết quả là, nhiều tổ chức có khả năng vẫn tiếp tục lưu trữ thông tin đăng nhập quản trị viên bằng cơ chế băm SHA-256 với Salt cũ."
Trong một tuyên bố chia sẻ với The Hacker News, người phát ngôn của Fortinet nói rằng "dữ liệu liên quan có khả năng là sự chia sẻ lại dữ liệu từ các sự cố trước đó, cũng như việc brute-force thông tin đăng nhập, chứ không liên quan đến bất kỳ sự cố hoặc khuyến cáo hiện tại nào," đồng thời hối thúc các tổ chức tuân thủ các thực hành tốt nhất, bao gồm việc thường xuyên thay đổi thông tin đăng nhập và kích hoạt MFA.
Khuyến nghị từ CISA để phòng chống FortiBleed
CISA đã đưa ra các khuyến nghị sau để chống lại hoạt động này:
- Chấm dứt tất cả các phiên SSL VPN và phiên quản trị đang hoạt động, đặt lại toàn bộ mật khẩu VPN và quản trị của Fortinet, đặc biệt là trên các hệ thống hướng ra internet, và thực thi các chính sách mật khẩu mạnh.
- Đảm bảo sử dụng thuật ngữ PBKDF2 để lưu trữ thông tin đăng nhập quản trị viên và loại bỏ các mã băm cũ yếu hơn.
- Kiểm tra nhật ký (logs) của firewall, VPN, xác thực và domain controller để tìm các dấu hiệu hành động khả nghi, bao gồm cả các thay đổi cấu hình trái phép.
- Kích hoạt MFA có khả năng chống tấn công giả mạo (phishing-resistant) trên tất cả các gateway bên ngoài và giao diện quản trị.
- Giảm thiểu bề mặt tấn công và thắt chặt quản lý.
Sự cố FortiBleed lần đầu tiên được đưa ra ánh sáng vào tuần trước sau khi nhà nghiên cứu bảo mật Volodymyr "Bob" Diachenko phát hiện một máy chủ chứa cơ sở dữ liệu các thông tin đăng nhập đang hoạt động cho hàng nghìn firewall và VPN gateway tại 194 quốc gia. Theo SOCRadar, máy chủ này cũng là nơi lưu trữ các công cụ và script tự động hóa của kẻ tấn công.
Những phát hiện này một lần nữa chứng minh cách thức việc tái sử dụng thông tin đăng nhập và vệ sinh mật khẩu kém có thể bị các tác nhân độc hại vũ khí hóa, chưa kể đến việc các thiết bị an ninh biên giới vẫn là mục tiêu béo bở để giành quyền truy cập ban đầu vào môi trường doanh nghiệp.