🔥 80 000 файрволов FortiGate — с рабочими паролями админа у атакующих
Это около половины всех FortiGate в интернете. 0-day нет — сложились переиспользованные пароли, старое хэширование (salted SHA-256) и непропатченные дыры (CVE-2026-24858), через которые выгружали конфиги. Дальше — офлайн-взлом хэшей и получение базы логинов
Админ на FortiGate — это контроль периметра: правка правил, перехват VPN, бэкдоры, заход в AD. Выгрузка и входы видны в логах, а доступ переживает смену пароля — нужны завершение сессий и поиск лишних учеток
Что делать:
1. Интернет-доступные FortiGate считайте скомпрометированными: сбросьте пароли, завершите сессии, проверьте спящие аккаунты
2. MFA на каждом админ- и VPN-аккаунте — мера №1 от CISA
3. Уберите управление и SSL VPN из открытого интернета
4. Обновите FortiOS до ветки с PBKDF2 (7.2.11 / 7.4.8 / 7.6.1+) — нужен перелогин, апдейт хеши не чистит
5. Проверьте логи (фильтр «config») — кампания идёт с февраля. Прогоните домен в чекере SOCRadar
Наш канал в MAX
