Những điểm chính:
Một chiến dịch đánh cắp thông tin đăng nhập quy mô lớn đã xâm nhập hơn 73.000 URL tường lửa và cổng VPN Fortinet trên 194 quốc gia, cho phép kẻ tấn công duy trì quyền truy cập vào một số doanh nghiệp lớn nhất thế giới.
Tội phạm mạng đã có hệ thống xâm nhập hàng chục nghìn thiết bị Fortinet được sử dụng bởi các công ty bao gồm Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture và Comcast, theo các báo cáo từ các công ty an ninh mạng SOCRadar và Hudson Rock. Chiến dịch có tên FortiBleed không dựa vào khai thác lỗ hổng zero-day mà dựa vào việc tái sử dụng thông tin đăng nhập và tấn công dò mật khẩu nhắm vào các giao diện quản lý và VPN Fortinet bị lộ.
"Các kẻ tấn công quét internet để tìm thiết bị Fortinet, thử một danh sách các mật khẩu đã biết đối với từng thiết bị và ghi lại mọi lần đăng nhập thành công," SOCRadar cho biết trong một báo cáo công bố ngày 16 tháng 6. "Khi một thiết bị bị xâm nhập, chúng sử dụng nó như một trạm nghe lén, giám sát lưu lượng truyền qua và thu thập mọi thông tin đăng nhập bổ sung đi qua."
SOCRadar đã xác định hơn 30.791 thiết bị bị xâm nhập, trải dài trên 21.108 địa chỉ IP duy nhất và 8.316 tên miền duy nhất trong các lĩnh vực chính phủ, viễn thông, y tế, giáo dục, dịch vụ tài chính và cơ sở hạ tầng trọng yếu. Phân tích của Hudson Rock đưa ra con số cao hơn là 73.932 URL Fortinet duy nhất, dựa trên một bộ dữ liệu lần đầu tiên được nhà nghiên cứu bảo mật Volodymyr Diachenko gắn cờ. Những kẻ tấn công đã thực hiện ước tính 1,16 tỷ nỗ lực dựa trên thông tin đăng nhập nhắm vào hơn 320.000 mục tiêu FortiGate, đồng thời tiến hành 2,1 tỷ nỗ lực tấn công vét cạn (brute-force) nhắm vào 160.000 máy chủ MSSQL.
Sự tinh vi về mặt kỹ thuật của chiến dịch vượt xa việc nhồi nhét thông tin đăng nhập đơn thuần. Sau khi xâm nhập được thiết bị, kẻ tấn công chặn các mã băm xác thực SSL VPN và bẻ khóa chúng ngoại tuyến bằng một cụm 45 GPU chuyên dụng được quản lý thông qua Hashtopolis, theo Hudson Rock. Các thiết bị bị xâm nhập sau đó đóng vai trò là trạm nghe lén thu thập thêm thông tin đăng nhập từ lưu lượng truyền qua, tạo ra một vòng luẩn quẩn tự củng cố của việc truy cập trái phép. Ấn Độ và Mỹ chiếm gần một phần ba tổng số vụ xâm phạm thông tin đăng nhập được xác định, với lĩnh vực viễn thông chịu thiệt hại nặng nề nhất với hơn 5.600 thiết bị và các cơ quan chính phủ chiếm 591 hệ thống bị xâm nhập trên 111 tên miền.
Cỗ máy tấn công tự duy trì
Những kẻ tấn công đã để lộ một máy chủ vận hành, cho phép các nhà nghiên cứu có cái nhìn sâu về cơ sở hạ tầng và cơ sở dữ liệu nạn nhân của chúng. SOCRadar cho biết bằng chứng kỹ thuật chỉ ra các tác nhân đe dọa nói tiếng Nga, lưu ý rằng việc lựa chọn nạn nhân "bị thiên vị nặng về các tổ chức ở các quốc gia thành viên NATO." Trong số dữ liệu thu hồi được có thông tin đăng nhập cho những gì dường như là một điểm cuối VPN của ngành công nghiệp quốc phòng, cho thấy động cơ vượt ra ngoài lợi ích tài chính thuần túy.
Đặc điểm nổi bật nhất của chiến dịch là những gì nó thiếu: bất kỳ lỗ hổng Fortinet nào bị khai thác. "Không có zero-day, không có khai thác, không có 'rò rỉ' thực sự," Waseem Ahmed, trưởng bộ phận kỹ thuật tại Secure.com cho biết. "Bất chấp cái tên, đây không phải là một lỗ hổng mà là một đống thông tin đăng nhập bị rò rỉ trong các vụ vi phạm Fortinet trước đây, được bắn trả lại các tổ chức chưa bao giờ buồn thay đổi chúng."
Riêng biệt, công ty bảo mật Defused đã quan sát thấy việc khai thác tích cực ba lỗ hổng Fortinet FortiSandbox vừa được vá — CVE-2026-39808, CVE-2026-39813 và CVE-2026-25089 — trong các cuộc tấn công bắt đầu xuất hiện trên các máy honeypot vào tháng 6. Hai lỗ hổng đầu tiên được đánh giá là nghiêm trọng và đã được vá vào tháng 4; lỗ hổng thứ ba đã được giải quyết trong bản cập nhật Patch Tuesday tháng 6 của Fortinet. Defused lưu ý rằng mã khai thác cho CVE-2026-25089 dường như được tạo ra bằng AI và ban đầu không hoạt động khi được quan sát lần đầu.
Hàm ý cho nhà đầu tư
Cổ phiếu Fortinet đang đối mặt với những rào cản khi quy mô của chiến dịch FortiBleed đặt ra câu hỏi về tình trạng bảo mật sản phẩm và lòng tin của khách hàng đối với công ty. Các doanh nghiệp tổ chức có doanh thu hàng năm hơn 1 tỷ USD chiếm hơn 20% số thiết bị bị ảnh hưởng, theo SOCRadar — chính xác là nhóm khách hàng thúc đẩy doanh thu định kỳ biên lợi nhuận cao của Fortinet. Tường lửa và cổng VPN của công ty là một trong những thiết bị bảo mật mạng được triển khai rộng rãi nhất trên toàn cầu, khiến chúng trở thành mục tiêu thường xuyên. Hudson Rock đã ra mắt cổng thông tin xác minh để các tổ chức kiểm tra xem tên miền của họ có xuất hiện trong bộ dữ liệu bị xâm nhập hay không, và SOCRadar kêu gọi các công ty bị ảnh hưởng "coi mạng lưới biên của bạn như đã bị xâm nhập và hành động ngay lập tức."
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.
