Ani la rând modelul mental a fost simplu: firewall-ul protejează rețeaua. În 2026 modelul are nevoie de o actualizare, pentru că firewall-ul — și orice alt echipament expus la internet — este tot mai des chiar ținta atacului.
Cel mai clar exemplu de până acum este FortiBleed, o campanie de colectare de credențiale la scară mare, descoperită în iunie 2026. Conform cercetării SOCRadar și avertismentelor CISA, operatorii au vizat aproximativ 430.000 de firewall-uri FortiGate la nivel global și au adunat peste 110 milioane de credențiale. Campania a ieșit la iveală doar printr-o greșeală a atacatorilor: un server plin cu credențiale furate a rămas expus pe internet.
Cum a funcționat operațiunea
Rețeta a fost mai degrabă metodică decât sofisticată:
- Scanare în masă a echipamentelor Fortinet expuse — SOCRadar a urmărit scanări asupra a circa 11.250 de portaluri FortiGate din peste 150 de țări.
- Acces prin credențiale cunoscute — combinații de utilizator și parolă deja compromise; primul val nu a avut nevoie de niciun zero-day.
- Sniffere de pachete personalizate (scrise în Go), instalate pe aproximativ 12.000 de echipamente compromise, pentru a captura pasiv alte credențiale și date de autentificare din trafic.
Rezultatele vorbesc singure: acces confirmat de nivel administrator pe 409 ținte, lanțul complet de atac finalizat pe 354 dintre ele și cel puțin 12 implementări de ransomware care au criptat sute de stații.
De la parole furate la ransomware
Cea mai importantă noutate a venit la începutul lui iulie: SOCRadar a găsit un operator legat de infrastructura FortiBleed lucrând activ în panourile de negociere ale operațiunilor de ransomware INC și Lynx. Cu alte cuvinte, nu a fost colectare de credențiale de dragul colecției — a fost un broker de acces inițial care alimenta direct implementări de ransomware cu accese verificate.
Documente interne sugerează o operațiune organizată, de circa 20 de persoane, cu diviziune clară a muncii, cel mai probabil vorbitori de rusă, concentrată pe producție, tehnologie și logistică. Așa arată lanțul de aprovizionare al criminalității cibernetice moderne: o echipă fură și verifică accesul, alta îl monetizează prin criptare și șantaj.
De ce echipamentele de margine sunt noile „bijuterii ale coroanei"
Firewall-urile, gateway-urile VPN și celelalte echipamente de margine sunt atractive din trei motive. Sunt mereu expuse — asta e chiar rolul lor. Sunt pline de credențiale — fiecare autentificare la VPN sau la portalul de administrare trece prin ele. Și sunt slab monitorizate — majoritatea organizațiilor au EDR pe laptopuri și servere, dar aproape zero vizibilitate asupra a ce rulează pe un echipament de rețea.
FortiBleed nu e un caz izolat. În aceleași săptămâni au apărut exploatarea activă a Citrix Bleed 2 de către afiliați de ransomware și un zero-day în Cisco SD-WAN. Tiparul e consecvent: atacatorii merg acolo unde sunt credențialele și unde apărătorii nu se uită.
Ce poți face săptămâna aceasta
- Inventariază-ți marginea rețelei. Fiecare echipament expus la internet — firewall-uri, concentratoare VPN, load balancere — cu responsabil, versiune de firmware și nivel de expunere.
- Aplică patch-urile și verifică. O versiune de firmware în urmă pe un echipament de margine e un risc fundamental diferit față de o aplicație desktop neactualizată.
- Rotește credențialele care au trecut prin echipament. Dacă un FortiGate (sau orice appliance) ar fi putut fi compromis, presupune că toate credențialele care au trecut prin el sunt compromise — inclusiv utilizatorii VPN și conturile de administrare.
- Scoate interfețele de administrare de pe internet. Portalurile de admin ar trebui accesibile doar dintr-o rețea de management, cu autentificare multi-factor obligatorie.
- Monitorizează echipamentul în sine. Procese neașteptate, modificări de configurație sau conexiuni de ieșire de pe un appliance merită aceeași alarmă ca un malware pe server.
Dacă intri sub NIS 2, nu uita: un echipament de margine compromis care duce la un incident semnificativ pornește ceasul de 24 de ore pentru avertizarea timpurie. Un inventar făcut din timp e ceea ce face termenul realizabil.
Testează înainte să o facă altcineva
Adevărul incomod al FortiBleed este că majoritatea victimelor nu au fost învinse de un zero-day, ci de portaluri expuse, credențiale refolosite și lipsa MFA — exact lucrurile pe care un test de penetrare pe infrastructură sau o evaluare de vulnerabilități făcute periodic le prind.
Dacă nu știi sigur ce expune organizația ta pe internet chiar acum, aceasta e prima întrebare care merită un răspuns. Te putem ajuta să-l afli înaintea altcuiva.
Acest articol este informare generală bazată pe raportările publice SOCRadar, CISA și The Hacker News, nu consultanță de răspuns la incident pentru un mediu anume.
