FortiBleed: wachtwoorden van 74.000 Fortinet-firewalls gekraakt — Nederlandse organisaties getroffen
Het NCSC waarschuwt Nederlandse organisaties na een grootschalige campagne waarbij wachtwoorden van tienduizenden Fortinet-firewalls zijn gestolen en online worden aangeboden. Onderwijsinstellingen en overheidsinstanties behoren tot de vermeende slachtoffers.
Dit is deel 4 in de OrangeGuard-serie over Fortinet-kwetsbaarheden. Lees ook deel 1: overzicht actieve CVEs, deel 2: patchproces en deel 3: nieuwe exploits GlobalProtect en FortiClient EMS.
Overzicht
| Kenmerk | Details |
|---|---|
| Campagnenaam | FortiBleed |
| Getroffen apparaten | 30.000 – 74.000 wereldwijd |
| Nederlandse slachtoffers | Bevestigd door NCSC |
| Nieuwe kwetsbaarheid? | Nee — credential stuffing en brute force |
| NCSC-advisory | Actief — organisaties worden individueel geïnformeerd |
| Aanbevolen actie | Direct wachtwoorden en sleutels resetten |
Wat is er gebeurd?
Een Russischtalige criminele groep heeft inloggegevens gestolen uit configuratiebestanden van bijna 74.000 Fortinet-firewalls en VPN-gateways wereldwijd. De data werd ontdekt nadat de groep per ongeluk een server met de buitgemaakte gegevens en bijbehorende tools publiek toegankelijk liet — een fout die werd opgemerkt door beveiligingsonderzoeker Volodymyr "Bob" Diachenko.
Beveiligingsonderzoeker Kevin Beaumont bevestigde de echtheid van de data: "Ik heb met verschillende getroffen organisaties gewerkt en kan bevestigen dat de inloggegevens echt zijn. Veel van de onderzochte apparaten draaien op redelijk recente patches."
Het NCSC waarschuwt Nederlandse organisaties actief voor de gelekte Fortinet-wachtwoorden. Bekende internationale organisaties als Samsung, PwC, Lenovo, Siemens, Accenture en Oracle behoren tot de getroffen partijen.
Hoe werkt de aanval?
Opvallend is dat het hier niet gaat om een hack via een kwetsbaarheid. De cyberbende bouwde zijn database met brute rekenkracht.
De aanvalsketen verloopt in twee fases:
Fase 1: Credential harvesting op schaal
De aanvallers scanden het internet op zoek naar FortiGate-endpoints waarmee gebruikers van op afstand kunnen inloggen. Via aangepaste code stuurden ze vervolgens duizenden combinaties van logins en wachtwoorden naar die endpoints en tekenden ze de combinaties op die werkten.
Daarnaast onderschepten ze versleutelde authenticatieberichten voor VPN-diensten. Die versleutelde hashes werden vervolgens gekraakt door een cluster bestaande uit 45 GPU's.
Fase 2: Laterale beweging na toegang
Zodra de aanvallers initiële toegang tot een Fortinet-apparaat hebben, gaan ze geraffineerd te werk. Onderzoekers hebben in meerdere gevallen gezien dat de aanvallers direct packet captures starten — zij onderscheppen het digitale netwerkverkeer van en naar het Fortinet-apparaat.
Vervolgens proberen ze naar interne Active Directory-omgevingen te bewegen en zo verdergaande toegang te krijgen.
Wat maakt dit bijzonder gevaarlijk?
Traditioneel focust de beveiligingsgemeenschap op kwetsbaarheden en patches. FortiBleed werkt anders: op dit moment zijn er geen aanwijzingen dat aanvallers een nieuwe kwetsbaarheid misbruiken. Onderzoekers zien vooral dat eerder gestolen of gelekte gebruikersnamen en wachtwoorden opnieuw worden ingezet.
Dit heeft directe implicaties. Patchen lost dit probleem niet op. Een organisatie die alle Fortinet-updates heeft geïnstalleerd maar wiens wachtwoorden in de dataset zitten, is nog steeds kwetsbaar. De dreiging zit niet in de software maar in de credentials.
Aanvallers combineren deze gegevens met geautomatiseerde aanvallen zoals brute-force-aanvallen en credential stuffing — het opnieuw gebruiken van gelekte inloggegevens op andere systemen.
Wat doet het NCSC?
Het NCSC heeft inmiddels meerdere organisaties geïnformeerd over aangetroffen inloggegevens. Omdat de volledige omvang van de campagne nog niet duidelijk is, is het mogelijk dat nog niet alle getroffen organisaties zijn bereikt.
Het NCSC roept organisaties op actief te controleren of ze in de bekende datasets voorkomen — niet af te wachten of er contact wordt opgenomen.
Aanbevolen maatregelen
Directe acties (nu uitvoeren)
-
Reset alle wachtwoorden en authenticatiemiddelen — inclusief SSH-sleutels voor zowel beheerders als reguliere gebruikers. Dit is de meest directe maatregel.
-
Wijzig alle admin- en VPN-wachtwoorden — ook als u denkt dat uw organisatie niet getroffen is. De volledige omvang van de dataset is nog niet bekend.
-
Controleer op IoCs — kijk in uw logs op onverwachte inlogpogingen, packet captures gestart vanuit uw Fortinet-apparaat, en ongebruikelijke laterale beweging richting Active Directory.
-
Schakel MFA in op alle externe toegang — twee-factor authenticatie voorkomt misbruik van gekraakte wachtwoorden, zelfs als credentials zijn gelekt.
Overweeg voor hoog-risico omgevingen
Het Britse NCSC adviseert een volledige fabrieksreset van het Fortinet-apparaat, omdat het enkel aanpassen van inloggegevens mogelijk onvoldoende is om aanvallers volledig van het systeem te verwijderen. Dit is ingrijpend maar de meest zekere aanpak bij vermoeden van compromittatie.
Structurele maatregel
Zorg dat SSL VPN-endpoints niet direct bereikbaar zijn vanaf het internet zonder aanvullende authenticatielaag. IP-whitelisting, VPN-on-VPN-constructies of zero trust network access (ZTNA) als alternatief voor traditionele SSL VPN verlagen de blootstelling structureel.
Het bredere patroon
FortiBleed past in het patroon dat OrangeGuard dit jaar consistent documenteert: aanvallers richten zich op edge devices en de authenticatielaag die die devices bewaken. In onze eerdere posts behandelden we kwetsbaarheden in FortiClient EMS en Palo Alto GlobalProtect. FortiBleed voegt een nieuwe dimensie toe: de aanval hoeft geen gebruik te maken van een kwetsbaarheid. Zwakke of hergebruikte wachtwoorden zijn voldoende.
De combinatie van geautomatiseerde credential harvesting op schaal en GPU-clusters die hashes kraken, maakt dat de traditionele aanname — "mijn wachtwoord is sterk genoeg" — niet meer houdbaar is zonder aanvullende maatregelen.
Bronnen
- NCSC – FortiBleed: duizenden Fortinetsystemen mogelijk geraakt
- Security.nl – Criminelen kraken wachtwoorden van 74.000 Fortinet-firewalls
- Help Net Security – 74000 Fortinet firewall credentials exposed in FortiBleed
- Dutch IT Leaders – FortiBleed-campagne misbruikt Fortinet-omgevingen
- Trends.be – Groot lek bij Fortinet: gegevens 74.000 firewalls publiek gemaakt
- Digiweerbaar – Dreigingsradar