CISA antoi FortiBleed-vuodon jälkeen kovennusohjeet – Suomen viranomainen ei niitä toista, koska viikkokatsaus on kesätauolla
Yhdysvaltain kyberviranomainen julkaisi listan toimista, jotka jokaisen FortiGate-ylläpitäjän pitäisi tehdä nyt. Suomessa vastaavaa kotimaista varoitusta ei tule, koska Kyberturvallisuuskeskuksen viikkokatsaus on kesätauolla juuri aktiivisimman hetken aikana.
Tiivistelma
CISA julkaisi 18.6.2026 kovennusohjeet FortiBleed-vuodon jälkeen: sulje VPN-istunnot, vaihda kaikki Fortinet-salasanat, ota MFA käyttöön. FortiBleed ei ole uusi haavoittuvuus eikä siihen liity CVE-numeroa, vaan se on noin 74 000 tunnuksen kokoelma vanhasta datasta ja murretuista tiivisteistä. Suomalaisten ylläpitäjien kannattaa toimia CISAn listan mukaan heti, sillä kotimaista viikkokatsausta ei kesän aikana tule.
FortiBleed-vuoto sai virallisen vastauksen. Yhdysvaltain kyberturvallisuusviranomainen CISA julkaisi 18.6.2026 ohjeistuksen otsikolla "CISA Urges Hardening Fortinet Devices After Reports of Credential Exposure". Listalla ei ole uutta paikkaa eikä määräaikaa, vaan joukko kovennustoimia, jotka jokaisen internetiin näkyvän FortiGate-laitteen omistajan pitäisi tehdä heti.
Eilen kerroimme itse vuodosta. Tämä juttu ei toista sitä. Se keskittyy siihen mitä nyt pitää tehdä ja oikaisee yhden sitkeän väärinkäsityksen.
Aloitetaan oikaisusta. FortiBleed ei ole uusi haavoittuvuus, eikä siihen liity yhtään CVE-numeroa. Kyse on kokoelmasta: noin 73 932 yksittäistä palomuuria ja noin 74 000 tunnusparia, mikä vastaa karkeasti puolta internetiin näkyvästä FortiGate-kannasta 194 maassa ja 21 632 verkkotunnuksen alueella. Se on syytä pitää erillään 18.6. käsitellystä CVE-2026-24858-aukosta, joka taas on aito, korjattu Fortinet-haavoittuvuus. Eri asia, eri uhka.
Mistä kokoelma sitten tuli? Tästä on kaksi tulkintaa, eikä niitä kannata sotkea.
Fortinet vähättelee. Yhtiön mukaan aineisto kierrättää dataa aiemmista tapauksista yhdistettynä raa'an voiman menetelmällä arvattuihin tunnuksiin.
– Tämä ei liity mihinkään tuoreeseen tapaukseen tai tiedotteeseen, yhtiö muotoilee.
Tutkijat näkevät tilanteen toisin. Vuodon löysi tietoturvatutkija Bob Diachenko, ja löydön vahvisti osittain tutkija Kevin Beaumont. Heidän sekä Arctic Wolfin, SOCRadarin ja Kudelskin arvion mukaan kyse on aktiivisesta kampanjasta.
Hyökkääjät keräsivät internetiin näkyvistä FortiGate-laitteista konfiguraatiotiedostoja vanhojen, jo paikattujen aukkojen kautta. Sen jälkeen salasanatiivisteet murrettiin offline. Yrityksiä oli noin 1,16 miljardia noin 320 000 kohdetta vastaan.
Heikommalla SHA-256-tiivistyksellä yhä olleet laitteet kaatuivat ihan kärkeen. PBKDF2 on ollut oletus alkuvuodesta 2025 lähtien, ja se kestää murtoyritykset olennaisesti paremmin.
Kumpi on oikeassa? Käytännön kannalta sillä ei ole väliä. Jos tunnuksesi ovat kokoelmassa, ne ovat hyökkääjien hallussa riippumatta siitä miten ne sinne päätyivät. Tutkijoiden suositus on kohdella laitteen perimetriä murrettuna, kunnes toisin todistetaan.
Salasanojen suojaus: PBKDF2 ja SHA-256
Molemmat ovat tapoja tallentaa salasana tiivisteenä selkokielen sijaan. SHA-256 on nopea laskea, ja se auttaa myös hyökkääjää. Tiivisteitä voi kokeilla miljardeja sekunnissa. PBKDF2 hidastaa laskennan tahallaan, jolloin sama murto kestäisi vuosia tuntien sijaan.
Tähän liittyy Suomen kannalta ikävä ajoitus. Kyberturvallisuuskeskus ei ole julkaissut FortiBleedistä omaa varoitusta, eikä Traficom myöskään. Viikkokatsaus, joka tavallisesti nostaisi tällaisen esiin, on kesätauolla 19.6.–6.8.2026. Viimeinen ennen taukoa oli numero 23/2026. Suomesta ei myöskään ole julkaistu omaa laitelukua – maa mahtuu noihin 194 maahan, mutta erikseen sitä ei ole laskettu.
Kotimaista viikkokatsausta ei siis aktiivisen ikkunan aikana tule. Suomalaisen ylläpitäjän ei kannata jäädä odottamaan sellaista. CISAn lista on tällä hetkellä paras saatavilla oleva ohje, ja se pätee Helsingissä yhtä lailla kuin Washingtonissa.
Mitä tehdä
Jos vastaat FortiGate- tai SSL-VPN-laitteesta, käy CISAn julkaiseman listan pohjalta tämä läpi nyt:
- Vaihda kaikki Fortinet-laitteen VPN- ja ylläpitosalasanat, erityisesti internetiin näkyvät. Sulje samalla kaikki aktiiviset SSL-VPN- ja ylläpitoistunnot.
- Ota MFA käyttöön ja vedä hallintaliittymä pois julkisesta verkosta. Rajaa hallinta sisäverkkoon tai VPN:n taakse.
- Varmista, että laite käyttää PBKDF2-tiivistystä. Versioissa 7.2.x ja 7.4.x uudelleenkirjautuminen pakottaa päivityksen vanhasta tiivisteestä. Ota lisäksi kirjautumisen lukitus käyttöön toistuvien yritysten varalta.
- Käy kirjautumislokit läpi luvattomien sisäänkirjautumisten varalta. Poista tuntemattomat tilit.
- Jos havaitset murron, ilmoita siitä Kyberturvallisuuskeskukseen osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
CISAn listalla on vielä yksi kohta, joka kannattaa nostaa esiin: ylläpitotunnukset tulee tallentaa PBKDF2-tiivisteellä, palomuurin hallinta rajata pois julkisesta internetistä ja luvattomat tilit poistaa kokonaan. Mitään yksittäistä määräaikaa ohjeessa ei ole, koska kyse ei ole katalogoidusta haavoittuvuudesta.
Jää nähtäväksi, päivittääkö Kyberturvallisuuskeskus linjaansa kun viikkokatsaus palaa elokuussa. Siihen asti vastuu on ylläpitäjällä itsellään.