FortiBleed paljasti 74 000 yrityspalomuurin VPN-tunnukset – sama tietovaras-haittaohjelma, joka iskee tavalliseen käyttäjään, kaataa lopulta yritykset
Kyseessä ei ole uusi haavoittuvuus vaan vanhojen varkauksien sato. Rikolliset murskasivat tietovaras-haittaohjelmien keräämät salasanat ja saivat sisäänpääsyn kymmeniin tuhansiin yritysten palomuureihin.
Tiivistelma
BleepingComputer raportoi FortiBleed-nimellä kulkevasta tunnuskasasta, joka paljastaa kelvolliset FortiGate VPN- ja ylläpitotunnukset lähes 74 000 palomuurille 194 maassa. Kyse ei ole uudesta tietoturva-aukosta vaan tietovaras-haittaohjelmilla aiemmin varastetuista ja murretuista tunnuksista. Suomessa aktiivinen huoli on tästä erillinen Fortinet-haavoittuvuus CVE-2026-24858.
Sama saalistava haittaohjelma, joka nappaa tavallisen ihmisen selaimeen tallentamat salasanat, kaataa lopulta myös yritykset, joiden palveluja hän käyttää. Juuri näin syntyi FortiBleed.
BleepingComputer raportoi tunnuskasasta 17.6.2026. Kyse ei ole uudesta Fortinet-haavoittuvuudesta, ja tämän jokainen lähde toistaa erikseen. Aineisto on koottu vanhoista, jo varastetuista tunnuksista.
Mistä se sitten kertyi? Venäjänkielinen, useamman tekijän ryhmä skannasi noin 320 777 verkkoon näkyvää FortiGate-laitetta ja teki niihin yhteensä noin 1,16 miljardia tunnuksen kirjautumisyritystä. Tunnukset täsmättiin vanhoihin tietovaras-haittaohjelmien salasanatietokantoihin, SSL-VPN-kirjautumisen tiivisteet siepattiin ja murrettiin offline-tilassa 45 näytönohjaimen klusterilla. Ryhmä jätti vahingossa auki kansion, joka paljasti heidän omat työkalunsa.
Lopputulos on iso. Aineisto sisältää kelvolliset FortiGate SSL-VPN- ja ylläpitotunnukset – käyttäjänimet, sähköpostit ja selkokieliset salasanat – yhteensä 73 932 yksittäiselle Fortinet-palomuurin osoitteelle 194 maassa. Se on suunnilleen puolet kaikista internetiin näkyvistä FortiGate-laitteista.
Mukana on isoja nimiä: Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec ja State Grid.
Miksi tunnukset murtuivat
Juurisyy on Arctic Wolfin mukaan tekninen. FortiGate tallensi aiemmin asetustiedoston tunnukset SHA-256-tiivisteenä, joka on suhteellisen nopea murtaa. Uudempi FortiOS 7.2.11 ja sitä tuoreemmat versiot käyttävät hitaampaa PBKDF2-menetelmää, joka tekee murtamisesta huomattavasti raskaampaa.
Ovatko tunnukset oikeasti käyttökelpoisia? Ainakin osa on. Security Discoveryn tutkija Volodymyr "Bob" Diachenko löysi paljastuneen palvelimen, ja itsenäinen tietoturvatutkija Kevin Beaumont vahvisti, että jotkin ylläpitotunnukset toimivat yhä.
– Osa ylläpitokirjautumisista on aitoja ja edelleen voimassa, Beaumont toteaa.
Noin 75 000 laitetta on yhä verkossa, joten riski on elävä. Fortinet itse painottaa, että tunnukset ovat peräisin aiemmista tietoturvaloukkauksista ja raa'an voiman hyökkäyksistä, ei uudesta murrosta. Tietoturvayhtiö Hudson Rock tarjoaa ilmaisen työkalun, jolla voi tarkistaa, onko oma laite mukana vuodossa, osoitteessa hudsonrock.com/fortinet.
Tietovaras-haittaohjelma (infostealer)
Tietovaras on haittaohjelma, joka kaappaa tartunnan saaneelta laitteelta selaimeen ja sovelluksiin tallennetut salasanat, evästeet ja istuntotiedot. Varastettu data myydään rikollisfoorumeilla suurina paketteina. Juuri näistä kasoista ammennettiin FortiBleedin tunnukset.
Suomalainen huoli on eri Fortinet-aukko
Tässä kohtaa on syytä olla tarkka, jotta kaksi asiaa eivät mene sekaisin. FortiBleed-aineiston maakohtaisissa luvuissa ei mainita Suomea, eikä siitä ole annettu suomalaista varoitusta. Eniten osumia tuli Intiasta, Yhdysvalloista, Taiwanista, Meksikosta, Turkista, Thaimaasta, Kolumbiasta, Malesiasta, Chilestä ja Arabiemiraateista.
Suomalainen, ajankohtainen huoli on tästä täysin erillinen. Kyberturvallisuuskeskus ja Traficom varoittavat haavoittuvuudesta CVE-2026-24858, joka on FortiCloudin SSO-tunnistautumisen ohitus (CVSS-vakavuus 9,4) tuotteissa FortiOS, FortiManager, FortiProxy ja FortiAnalyzer. Sitä hyödynnetään aktiivisesti, ja havaintoja on tehty myös Suomessa.
FortiBleed ei siis ole sama asia kuin CVE-2026-24858. Toinen on vanhoista varkauksista koottu salasanakasa, toinen tuore ja aktiivisesti hyödynnetty aukko. Yhteistä on vain valmistaja ja se ikävä tosiasia, että Suomessa on historiallisesti ollut paljon verkkoon näkyviä FortiGate-laitteita.
Mitä tehdä
Yrityksille ja IT-ylläpidolle:
- Vaihda kaikki VPN- ja ylläpitotunnukset heti.
- Pakota monivaiheinen tunnistautuminen (MFA) SSL-VPN- ja ylläpitokirjautumisiin.
- Päivitä FortiOS uusimpaan versioon, jolloin PBKDF2 tulee käyttöön.
- Poista SSL-VPN- ja ylläpitorajapinnat julkisesta internetistä.
- Käy läpi yhdyskäytävän lokit ja etsi merkkejä sivuttaisliikkeestä Active Directoryyn.
- Tarkista henkilöstön tunnukset tietovaras-tietokantoja vastaan.
Tavallisen käyttäjän opetus on sama hygienia, joka suojaa lopulta myös työpaikan järjestelmiä. Älä tallenna salasanoja paikkoihin, joista haittaohjelma ne kaappaa, vaan käytä kunnollista salasananhallintaa. Pidä virustorjunta päällä. Ja kun jokin palvelu ilmoittaa, että salasanasi löytyi vuodosta, ota se ihan tosissaan ja vaihda se.
Kalasteluyrityksistä ja tietoturvaloukkauksista voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Rikoksesta tehdään rikosilmoitus poliisi.fi-palvelussa.
FortiBleed on muistutus siitä, ettei iso tietovuoto aina vaadi uutta nerokasta aukkoa. Joskus riittää, että kärsivällinen rikollinen kerää tarpeeksi vanhoja salasanoja ja kokeilee niitä. Kuinka moni niistä 75 000 yhä auki olevasta laitteesta ehditään sulkea ennen seuraavaa kiristysaaltoa, jää toistaiseksi nähtäväksi.