Default
Door Remote - 17 Jun 2026
Volgens twee cyberbeveiligingsbedrijven hebben cybercriminelen tienduizenden Fortinet-firewalls en VPN's gecompromitteerd die door grote bedrijven over de hele wereld worden gebruikt.
De wijdverbreide hackcampagne, die nog steeds gaande is en de naam FortiBleed heeft gekregen, lijkt geen misbruik te maken van een onbekende kwetsbaarheid in de beoogde apparaten, maar eerder over een meer fundamentele kwestie: bedrijven mogen de wachtwoorden voor de firewall niet wijzigen en er ook niet voor zorgen dat de inloggegevens die ze gebruiken voor gevoelige systemen die op internet zijn blootgesteld, niet al bekend zijn bij hackers.
In deze campagne gebruiken hackers eerst geautomatiseerde tools om het internet te scannen op blootgestelde Fortinet-firewalls en VPN's. Vervolgens breken ze in op de apparaten dankzij lijsten met eerder bekende wachtwoorden. Op dat moment kunnen de cybercriminelen gevoeligere gegevens van de slachtofferbedrijven stelen, schreven cyberbeveiligingsbedrijven Hudson Rock en SOCRadar in hun rapporten die ze deze week publiceerden.
"Zodra een apparaat is gecompromitteerd, gebruiken [de hackers] het als luisterpost, houden het verkeer in de gaten en verzamelen eventuele extra inloggegevens die voorbijkomen. Die vers verzamelde wachtwoorden worden vervolgens teruggevoerd naar de scanner om nog meer apparaten in gevaar te brengen. Het systeem voedt zichzelf", schreef SOCRadar.
Fortinet-woordvoerder Tiffany Curci vertelde TechCrunch dat het bedrijf “op de hoogte is van een gerapporteerde campagne voor het verzamelen van inloggegevens van derden, gericht op Fortinet-firewalls en VPN-gateways.” Fortinet zei dat op basis van de analyse van het bedrijf de betrokken gegevens “een heruitwisseling van gegevens van eerdere incidenten zijn, evenals het brute forceren van inloggegevens, en niet gerelateerd zijn aan enig recent incident of advies.”
Hudson Rock zei dat ze bewijs hebben gevonden dat suggereert dat er meer dan 73.000 unieke Fortinet-URL's zijn gehackt, terwijl SOCRadar zei dat het totaal aan gehackte apparaten meer dan 30.000 bedraagt.
Volgens Hudson Rock zijn de gehackte bedrijven onder meer Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens en PwC.
Een woordvoerder van Lenovo bevestigde de ontvangst van het verzoek van TechCrunch om commentaar, maar reageerde niet. Geen van de andere bedrijven reageerde op een verzoek om commentaar.
Volgens zowel Hudson Rock als SOCRadar zijn de landen met de meest getroffen apparaten India, de Verenigde Staten, Taiwan en Mexico. Maar beide bedrijven zeggen dat er over de hele wereld slachtoffers zijn. Wat de sectoren betreft, zijn volgens Hudson Rock de IT-diensten, bouwmaterialen en telecommunicatie de zwaarst getroffen sectoren. Volgens SOCRadar behoren ook overheidsinstanties tot de slachtoffers. Beide cyberbeveiligingsbedrijven zeiden dat de groep achter de hackcampagne Russisch lijkt te spreken.
De rapporten van Hudson Rock en SOCRadar zijn gebaseerd op de ontdekking van een lijst met inloggegevens voor Fortinet-apparaten en aanverwante bedrijven. Deze hackcampagne werd dit weekend voor het eerst gerapporteerd door beveiligingsonderzoeker Bob Diachenko. Onafhankelijke cybersecurity-onderzoeker Kevin Beaumont zei woensdag in een blogpost dat hij de gegevens heeft geanalyseerd en heeft bevestigd dat de gegevens ‘legitiem zijn’.
De afgelopen jaren hebben verschillende hackcampagnes zich gericht op Fortinet-apparaten en deze gecompromitteerd, waarbij meestal misbruik werd gemaakt van kwetsbaarheden in die systemen. In plaats daarvan vertrouwen de hackers in dit geval op gelekte wachtwoorden, een eenvoudiger en minder geavanceerde aanval.
Bijgewerkt met commentaar van Fortinet.
De wijdverbreide hackcampagne, die nog steeds gaande is en de naam FortiBleed heeft gekregen, lijkt geen misbruik te maken van een onbekende kwetsbaarheid in de beoogde apparaten, maar eerder over een meer fundamentele kwestie: bedrijven mogen de wachtwoorden voor de firewall niet wijzigen en er ook niet voor zorgen dat de inloggegevens die ze gebruiken voor gevoelige systemen die op internet zijn blootgesteld, niet al bekend zijn bij hackers.
In deze campagne gebruiken hackers eerst geautomatiseerde tools om het internet te scannen op blootgestelde Fortinet-firewalls en VPN's. Vervolgens breken ze in op de apparaten dankzij lijsten met eerder bekende wachtwoorden. Op dat moment kunnen de cybercriminelen gevoeligere gegevens van de slachtofferbedrijven stelen, schreven cyberbeveiligingsbedrijven Hudson Rock en SOCRadar in hun rapporten die ze deze week publiceerden.
"Zodra een apparaat is gecompromitteerd, gebruiken [de hackers] het als luisterpost, houden het verkeer in de gaten en verzamelen eventuele extra inloggegevens die voorbijkomen. Die vers verzamelde wachtwoorden worden vervolgens teruggevoerd naar de scanner om nog meer apparaten in gevaar te brengen. Het systeem voedt zichzelf", schreef SOCRadar.
Fortinet-woordvoerder Tiffany Curci vertelde TechCrunch dat het bedrijf “op de hoogte is van een gerapporteerde campagne voor het verzamelen van inloggegevens van derden, gericht op Fortinet-firewalls en VPN-gateways.” Fortinet zei dat op basis van de analyse van het bedrijf de betrokken gegevens “een heruitwisseling van gegevens van eerdere incidenten zijn, evenals het brute forceren van inloggegevens, en niet gerelateerd zijn aan enig recent incident of advies.”
Hudson Rock zei dat ze bewijs hebben gevonden dat suggereert dat er meer dan 73.000 unieke Fortinet-URL's zijn gehackt, terwijl SOCRadar zei dat het totaal aan gehackte apparaten meer dan 30.000 bedraagt.
Volgens Hudson Rock zijn de gehackte bedrijven onder meer Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens en PwC.
Een woordvoerder van Lenovo bevestigde de ontvangst van het verzoek van TechCrunch om commentaar, maar reageerde niet. Geen van de andere bedrijven reageerde op een verzoek om commentaar.
Volgens zowel Hudson Rock als SOCRadar zijn de landen met de meest getroffen apparaten India, de Verenigde Staten, Taiwan en Mexico. Maar beide bedrijven zeggen dat er over de hele wereld slachtoffers zijn. Wat de sectoren betreft, zijn volgens Hudson Rock de IT-diensten, bouwmaterialen en telecommunicatie de zwaarst getroffen sectoren. Volgens SOCRadar behoren ook overheidsinstanties tot de slachtoffers. Beide cyberbeveiligingsbedrijven zeiden dat de groep achter de hackcampagne Russisch lijkt te spreken.
De rapporten van Hudson Rock en SOCRadar zijn gebaseerd op de ontdekking van een lijst met inloggegevens voor Fortinet-apparaten en aanverwante bedrijven. Deze hackcampagne werd dit weekend voor het eerst gerapporteerd door beveiligingsonderzoeker Bob Diachenko. Onafhankelijke cybersecurity-onderzoeker Kevin Beaumont zei woensdag in een blogpost dat hij de gegevens heeft geanalyseerd en heeft bevestigd dat de gegevens ‘legitiem zijn’.
De afgelopen jaren hebben verschillende hackcampagnes zich gericht op Fortinet-apparaten en deze gecompromitteerd, waarbij meestal misbruik werd gemaakt van kwetsbaarheden in die systemen. In plaats daarvan vertrouwen de hackers in dit geval op gelekte wachtwoorden, een eenvoudiger en minder geavanceerde aanval.
Bijgewerkt met commentaar van Fortinet.