Een recent ontdekt datalek, genaamd FortiBleed, heeft VPN-credentials van 73.932 Fortinet en FortiGate firewalls blootgelegd bij organisaties wereldwijd. De gegevens werden ontdekt door securityonderzoeker Bob Diachenko, die een server vond met ogenschijnlijk geldige Fortinet VPN-gegevens, waaronder gebruikersnamen, e-mailadressen en wachtwoorden in platte tekst.

Volgens Diachenko bevat de database gegevens van grote bedrijven zoals Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota en vele anderen. Ook werden per organisatie sector, omzet en aantal medewerkers vermeld, vermoedelijk om aanvallen te plannen. Diachenko meldde op LinkedIn dat er een grootschalige brute force en actieve exploitatiecampagne gaande is, waarbij duizenden Fortinet-instanties zijn betrokken. De aanvallers zouden ongeveer 1,16 miljard pogingen hebben gedaan tegen 320.777 FortiGate-doelen en 2,1 miljard tegen 163.650 Microsoft SQL Server systemen.

De aanvallers zouden SSL VPN authenticatiehashes onderschept en gekraakt hebben met behulp van een 45-GPU cluster, waarna zij met de verkregen credentials laterale bewegingen binnen interne Active Directory-omgevingen uitvoerden. Diachenko ontdekte bovendien dat meerdere organisaties in Japan, Taiwan, Vietnam, Irak en Turkije volledig gecompromitteerd zijn, waaronder een Turkse NAVO-defensieleverancier waaruit geheime documenten zijn gestolen.

Threat intelligence bedrijf Hudson Rock publiceerde een eigen analyse van de dataset, die 73.932 unieke firewall-URL's in 194 landen omvat en 21.632 unieke domeinen treft. De getroffen organisaties zijn actief in sectoren als telecommunicatie, IT-diensten, financiële dienstverlening, overheid, gezondheidszorg, onderwijs en productie. De meeste getroffen apparaten bevinden zich in India, de Verenigde Staten, Taiwan, Mexico, Turkije, Thailand, Colombia, Maleisië, Chili en de Verenigde Arabische Emiraten.