Tweet
Chiến dịch FortiBleed làm lộ 75.000 tường lửa Fortinet trên toàn cầu
Tin tức bảo mật
Ngày 18/06/2026 | Thời gian đọc: 4 phút
Các nhà nghiên cứu cho biết tin tặc đã thu thập thông tin đăng nhập (credentials) của các thiết bị FortiGate trên quy mô lớn, khiến các tổ chức tại 194 quốc gia đối mặt với nguy cơ bị xâm nhập mạng trong thời gian dài.
Chiến dịch FortiBleed: Thu thập mật khẩu FortiGate trên quy mô toàn cầu
Chiến dịch có tên FortiBleed lần đầu được nhà nghiên cứu bảo mật Volodymyr Diachenko phát hiện. Ông đã đăng trên LinkedIn về việc tìm thấy một danh sách do tin tặc kiểm soát, chứa các mật khẩu FortiGate còn hoạt động, được thu thập "bằng nhiều phương thức khác nhau".
Sau đó, nhóm nghiên cứu của SOCRadar cũng độc lập phát hiện một máy chủ đang hoạt động thuộc về một tác nhân đe dọa chưa xác định. Máy chủ này chứa:
SOCRadar cho biết:
Các công cụ và mục tiêu của chiến dịch có nhiều điểm tương đồng với các nhóm tin tặc nói tiếng Nga.
Tin tặc thu thập file cấu hình và khôi phục mật khẩu quản trị
Theo các phân tích độc lập từ SOCRadar, Hudson Rock và nhà nghiên cứu Kevin Beaumont, các tác nhân đe dọa đã:
Hiện tại, vector tấn công ban đầu vẫn chưa được xác định.
Ông Benjamin Harris, CEO của công ty bảo mật watchTowr, nhận định:
Ông cho rằng số lượng lớn thông tin đăng nhập này có thể đã được tích lũy theo thời gian thông qua việc khai thác nhiều lỗ hổng khác nhau trên các ứng dụng Fortinet tiếp xúc trực tiếp với Internet.
Phía Fortinet chưa đưa ra bình luận chính thức.
75.000 firewall bị ảnh hưởng trên toàn thế giới
Ban đầu, SOCRadar cho biết cơ sở dữ liệu chứa thông tin đăng nhập hợp lệ của khoảng 30.791 thiết bị.
Tuy nhiên, các phân tích tiếp theo của Kevin Beaumont và Hudson Rock đã nâng con số này lên khoảng:
Con số này tương đương khoảng:
Các nhà nghiên cứu xác định:
Loại thông tin bị lộ
Dữ liệu bị đánh cắp bao gồm:
Các nhà nghiên cứu cho biết toàn bộ quá trình được tự động hóa ở mức cao, cho phép tin tặc:
trên quy mô rất lớn.
Các quốc gia bị ảnh hưởng nhiều nhất gồm:
Ba quốc gia này chiếm gần 12.000 thông tin đăng nhập bị xâm phạm.
Phân tích loại credential cho thấy các tài khoản đặc thù của từng tổ chức bị nhắm mục tiêu nhiều nhất, cho thấy chiến dịch chủ yếu hướng đến môi trường doanh nghiệp (Enterprise Targeting).
Mức độ nguy hiểm
Theo Kevin Beaumont, nếu sở hữu các thông tin đăng nhập này, tin tặc có thể:
Nói cách khác:
Hash cũ – vấn đề mới
Các nhà nghiên cứu cũng phát hiện lý do khiến nhiều hệ thống Fortinet dễ bị bẻ khóa hơn.
Nhiều thiết bị vẫn lưu mật khẩu quản trị bằng cơ chế băm cũ:
Cơ chế này kém chống chịu hơn trước các cuộc tấn công bẻ khóa ngoại tuyến (Offline Password Cracking).
Theo Arctic Wolf:
thay thế cho cơ chế SHA-256 cũ.
Tuy nhiên, khi nâng cấp từ phiên bản cũ:
Điều này khiến rất nhiều tổ chức vẫn vô tình lưu mật khẩu bằng cơ chế băm cũ và dễ bị crack hơn.
Khuyến nghị cho doanh nghiệp
Các chuyên gia khuyến cáo: 1. Giả định rằng credential đã bị lộ
Nếu firewall FortiGate từng bị phơi bày trên Internet, doanh nghiệp nên coi như:
2. Thay đổi ngay mật khẩu
Thực hiện:
3. Bật MFA
Bắt buộc triển khai:
4. Hạn chế giao diện quản trị ra Internet
Không công khai:
Nên:
5. Kiểm tra dấu hiệu xâm nhập
Rà soát:
6. Nâng cấp FortiOS
Nâng cấp lên các phiên bản hỗ trợ:
Sau khi nâng cấp:
Ngoài ra, quản trị viên có thể chủ động cập nhật lại mật khẩu bằng tài khoản:
để kích hoạt cơ chế mã hóa mới.
Tóm tắt
FortiBleed là một trong những chiến dịch thu thập credential Fortinet lớn nhất từng được ghi nhận, với khoảng 75.000 firewall FortiGate bị ảnh hưởng tại 194 quốc gia. Tin tặc có thể sử dụng các thông tin đăng nhập này để truy cập từ xa, kiểm soát firewall và xâm nhập sâu vào mạng doanh nghiệp. Các tổ chức sử dụng FortiGate cần coi đây là một sự cố nghiêm trọng, khẩn trương thay đổi mật khẩu, bật MFA, kiểm tra dấu hiệu xâm nhập và nâng cấp FortiOS lên các phiên bản sử dụng cơ chế băm PBKDF2 an toàn hơn.
Tin tức bảo mật
Ngày 18/06/2026 | Thời gian đọc: 4 phút
Các nhà nghiên cứu cho biết tin tặc đã thu thập thông tin đăng nhập (credentials) của các thiết bị FortiGate trên quy mô lớn, khiến các tổ chức tại 194 quốc gia đối mặt với nguy cơ bị xâm nhập mạng trong thời gian dài.
Chiến dịch FortiBleed: Thu thập mật khẩu FortiGate trên quy mô toàn cầu
Chiến dịch có tên FortiBleed lần đầu được nhà nghiên cứu bảo mật Volodymyr Diachenko phát hiện. Ông đã đăng trên LinkedIn về việc tìm thấy một danh sách do tin tặc kiểm soát, chứa các mật khẩu FortiGate còn hoạt động, được thu thập "bằng nhiều phương thức khác nhau".
Sau đó, nhóm nghiên cứu của SOCRadar cũng độc lập phát hiện một máy chủ đang hoạt động thuộc về một tác nhân đe dọa chưa xác định. Máy chủ này chứa:
- Danh sách mật khẩu FortiGate bị đánh cắp
- Công cụ và hạ tầng tự động hóa phục vụ tấn công
- Danh sách nạn nhân
- Một số dấu hiệu giúp truy vết nhóm đứng sau chiến dịch
SOCRadar cho biết:
"Quá trình quy kết thủ phạm vẫn đang tiếp tục, nhưng các dấu vết hoạt động đã khá rõ ràng."
Các công cụ và mục tiêu của chiến dịch có nhiều điểm tương đồng với các nhóm tin tặc nói tiếng Nga.
Tin tặc thu thập file cấu hình và khôi phục mật khẩu quản trị
Theo các phân tích độc lập từ SOCRadar, Hudson Rock và nhà nghiên cứu Kevin Beaumont, các tác nhân đe dọa đã:
- Thu thập các file cấu hình của các firewall FortiGate kết nối Internet.
- Trích xuất và khôi phục thông tin đăng nhập quản trị viên từ các file cấu hình này.
Hiện tại, vector tấn công ban đầu vẫn chưa được xác định.
Ông Benjamin Harris, CEO của công ty bảo mật watchTowr, nhận định:
"Thực tế đáng lo ngại là các cuộc tấn công hiện đại không còn chỉ nhằm gây tác động tức thời. Chúng tập trung vào việc thu thập dữ liệu vẫn còn giá trị rất lâu sau khi lỗ hổng gốc đã được vá."
Ông cho rằng số lượng lớn thông tin đăng nhập này có thể đã được tích lũy theo thời gian thông qua việc khai thác nhiều lỗ hổng khác nhau trên các ứng dụng Fortinet tiếp xúc trực tiếp với Internet.
Phía Fortinet chưa đưa ra bình luận chính thức.
75.000 firewall bị ảnh hưởng trên toàn thế giới
Ban đầu, SOCRadar cho biết cơ sở dữ liệu chứa thông tin đăng nhập hợp lệ của khoảng 30.791 thiết bị.
Tuy nhiên, các phân tích tiếp theo của Kevin Beaumont và Hudson Rock đã nâng con số này lên khoảng:
75.000 thiết bị Fortinet
Con số này tương đương khoảng:
50% tổng số firewall Fortinet đang phơi bày trên Internet, theo dữ liệu từ Shodan.
Các nhà nghiên cứu xác định:
- Thiết bị bị ảnh hưởng nằm tại 194 quốc gia
- Trải rộng trên hơn 21.000 tên miền (domains)
Loại thông tin bị lộ
Dữ liệu bị đánh cắp bao gồm:
- Tài khoản quản trị (Administrative credentials)
- Thông tin đăng nhập SSL VPN
Các nhà nghiên cứu cho biết toàn bộ quá trình được tự động hóa ở mức cao, cho phép tin tặc:
- Thu thập
- Xử lý
- Giải mã mật khẩu
trên quy mô rất lớn.
Các quốc gia bị ảnh hưởng nhiều nhất gồm:
- Ấn Độ
- Hoa Kỳ
- Mexico
Ba quốc gia này chiếm gần 12.000 thông tin đăng nhập bị xâm phạm.
Phân tích loại credential cho thấy các tài khoản đặc thù của từng tổ chức bị nhắm mục tiêu nhiều nhất, cho thấy chiến dịch chủ yếu hướng đến môi trường doanh nghiệp (Enterprise Targeting).
Mức độ nguy hiểm
Theo Kevin Beaumont, nếu sở hữu các thông tin đăng nhập này, tin tặc có thể:
- Đăng nhập từ xa vào firewall
- Giành quyền truy cập vào toàn bộ mạng nội bộ
- Thay đổi các chính sách bảo mật
- Vô hiệu hóa các cơ chế phòng thủ
- Tạo tài khoản backdoor để duy trì quyền truy cập lâu dài
Nói cách khác:
Khi firewall biên (perimeter firewall) bị chiếm quyền quản trị, toàn bộ mạng doanh nghiệp có thể bị kiểm soát.
Hash cũ – vấn đề mới
Các nhà nghiên cứu cũng phát hiện lý do khiến nhiều hệ thống Fortinet dễ bị bẻ khóa hơn.
Nhiều thiết bị vẫn lưu mật khẩu quản trị bằng cơ chế băm cũ:
SHA-256 + Salt
Cơ chế này kém chống chịu hơn trước các cuộc tấn công bẻ khóa ngoại tuyến (Offline Password Cracking).
Theo Arctic Wolf:
Fortinet đã giới thiệu cơ chế băm dựa trên PBKDF2 cho mật khẩu quản trị trong các phiên bản:
- FortiOS 7.2.11
- FortiOS 7.4.8
- FortiOS 7.6.1
thay thế cho cơ chế SHA-256 cũ.
Tuy nhiên, khi nâng cấp từ phiên bản cũ:
Các mật khẩu quản trị hiện hữu vẫn tiếp tục được lưu dưới dạng SHA-256 cho đến khi quản trị viên đăng nhập lại ít nhất một lần sau khi nâng cấp.
Điều này khiến rất nhiều tổ chức vẫn vô tình lưu mật khẩu bằng cơ chế băm cũ và dễ bị crack hơn.
Khuyến nghị cho doanh nghiệp
Các chuyên gia khuyến cáo: 1. Giả định rằng credential đã bị lộ
Nếu firewall FortiGate từng bị phơi bày trên Internet, doanh nghiệp nên coi như:
Tài khoản quản trị và SSL VPN đã bị xâm phạm.
2. Thay đổi ngay mật khẩu
Thực hiện:
- Rotate Admin Password
- Rotate SSL VPN Password
- Không tái sử dụng mật khẩu cũ.
3. Bật MFA
Bắt buộc triển khai:
- Multi-Factor Authentication (MFA)
- Đặc biệt cho tài khoản quản trị và VPN.
4. Hạn chế giao diện quản trị ra Internet
Không công khai:
- HTTPS Management
- SSH Management
- Administrative Interface
Nên:
- Chỉ cho phép từ mạng quản trị riêng
- Hoặc thông qua VPN/Bastion Host.
5. Kiểm tra dấu hiệu xâm nhập
Rà soát:
- Tài khoản quản trị lạ
- Thay đổi cấu hình bất thường
- VPN user bất thường
- Chính sách firewall bị sửa đổi
- Backdoor account.
6. Nâng cấp FortiOS
Nâng cấp lên các phiên bản hỗ trợ:
- FortiOS 7.2.11+
- FortiOS 7.4.8+
- FortiOS 7.6.1+
Sau khi nâng cấp:
Yêu cầu tất cả quản trị viên đăng nhập lại ít nhất một lần để mật khẩu được tự động chuyển sang cơ chế PBKDF2.
Ngoài ra, quản trị viên có thể chủ động cập nhật lại mật khẩu bằng tài khoản:
super_admin
để kích hoạt cơ chế mã hóa mới.
Tóm tắt
FortiBleed là một trong những chiến dịch thu thập credential Fortinet lớn nhất từng được ghi nhận, với khoảng 75.000 firewall FortiGate bị ảnh hưởng tại 194 quốc gia. Tin tặc có thể sử dụng các thông tin đăng nhập này để truy cập từ xa, kiểm soát firewall và xâm nhập sâu vào mạng doanh nghiệp. Các tổ chức sử dụng FortiGate cần coi đây là một sự cố nghiêm trọng, khẩn trương thay đổi mật khẩu, bật MFA, kiểm tra dấu hiệu xâm nhập và nâng cấp FortiOS lên các phiên bản sử dụng cơ chế băm PBKDF2 an toàn hơn.