In juni 2026 werd FortiBleed openbaar gemaakt, een cluster van meldingen over grootschalige blootstelling en misbruik van inloggegevens gericht op FortiGate management- en SSL-VPN-gateways die via internet bereikbaar zijn. Het gaat hierbij niet om een nieuwe zero-day kwetsbaarheid, maar om aanvallen die voortkomen uit hergebruik van credentials en brute-force technieken.

De grootste risico's betreffen FortiGate-apparaten die zonder multi-factor authenticatie (MFA) via internet toegankelijk zijn, waarbij gebruik wordt gemaakt van hergebruikte of legacy-hashed wachtwoorden, of apparaten die eerder blootgesteld zijn aan bekende Fortinet kwetsbaarheden. Zelfs gepatchte apparaten kunnen kwetsbaar blijven als inloggegevens of configuratiemateriaal vóór het patchen zijn buitgemaakt, vooral wanneer de migratie naar PBKDF2-hashing en het opruimen van legacy-hashes nog niet volledig is afgerond.

Op 17 juni 2026 werden datasets met Fortinet-gerelateerde URL's, apparaatgegevens, gebruikersnamen en wachtwoorden openbaar, waarna overheidsinstanties zoals CISA en het UK NCSC op 18 juni hardening- en onderzoekstips uitgaven. Fortinet bevestigde op 19 juni dat het om hergebruik van eerder gelekte credentials gaat, gecombineerd met brute-force en password-spraying, en niet om een nieuwe kwetsbaarheid. De omvang van de blootstelling varieert per bron, met aantallen van tienduizenden tot ruim 80.000 records, maar deze cijfers zijn niet direct vergelijkbaar of op te tellen.

De urgentie is hoog voor FortiGate management- en SSL-VPN-interfaces die publiek toegankelijk zijn zonder MFA en met hergebruikte of legacy-wachtwoorden, en middel-hoog voor niet-publieke omgevingen met gedeelde credentials of identiteitsintegraties. Organisaties worden geadviseerd om hun internet-bereikbare services te inventariseren, patches toe te passen, sessies te beëindigen, blootgestelde credentials te roteren, MFA af te dwingen en te zoeken naar afwijkingen in authenticatie en configuratie. Qualys biedt detectiemogelijkheden voor acht relevante Fortinet CVE's, evenals query's voor VMDR, ETM en CSAM om blootgestelde assets te identificeren en prioriteren.