FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta

Resumen ejecutivo

FortiBleed es una campaña/filtración de credenciales contra dispositivos Fortinet FortiGate y pasarelas SSL-VPN expuestas a Internet. La evidencia pública no demuestra un zero-day de Fortinet; el consenso operativo apunta a credenciales comprometidas, reutilizadas o extraídas de configuraciones previas, validadas a gran escala contra interfaces de administración y VPN.

CISA advierte de actividad global contra organizaciones públicas y privadas mediante credenciales comprometidas. SOCRadar la describe como una campaña activa con más de 86.000 credenciales verificadas en 194 países; BleepingComputer/Hudson Rock citan 73.932 URLs únicas y 21.632 dominios; Arctic Wolf sitúa el rango entre 30.000 y 75.000 dispositivos y relaciona el riesgo con hashes heredados SHA-256 en configuraciones FortiGate.

Hechos clave verificados

• Nombre: FortiBleed.
• Tipo: campaña de credential stuffing/password spraying, exposición de credenciales y posible extracción de configuraciones Fortinet.
• Superficie: FortiGate/FortiOS con SSL-VPN o administración expuesta, especialmente en puertos 443, 4443, 8443 y 10443.
• Escala: fuentes públicas reportan entre 73.932 y 86.644 accesos/credenciales/dispositivos, con cobertura en 194 países.
• Sectores: telecomunicaciones, gobierno, finanzas, salud, educación, manufactura, IT y operadores de infraestructura crítica.
• Estado: campaña activa al momento de publicación; CISA pide hardening inmediato.

No confundir con un CVE único

FortiBleed no debe modelarse como una vulnerabilidad única. Fortinet y CISA vinculan la defensa a higiene de credenciales, MFA, restricción de interfaces y endurecimiento. No obstante, el contexto técnico incluye CVE-2025-25250 / FG-IR-24-257, una exposición de información en FortiOS SSL-VPN web-mode que permite a un usuario autenticado acceder a configuración SSL-VPN completa mediante URL manipulada. Fortinet marca este CVE como severidad baja y no conocido explotado, pero el update del workaround en junio de 2026 y el foco en SSL-VPN lo convierten en dato relevante para priorización.

Hipótesis de intrusión

La cadena más plausible combina automatización de escaneo, pruebas masivas de credenciales, reutilización de contraseñas filtradas y explotación de mala exposición de interfaces. BleepingComputer recoge que parte del dataset parece proceder de configuraciones Fortinet exportadas, porque incluye datos normalmente presentes en backups/configs. Arctic Wolf destaca el problema de hashes heredados SHA-256: FortiOS introdujo PBKDF2 para administradores en 7.2.11, 7.4.8 y 7.6.1, pero algunos hashes antiguos pueden persistir hasta que el administrador inicia sesión o cambia contraseña, y en ciertos trenes se requiere activar controles específicos para eliminar weak/old-password.

Indicadores y pivotes

• IPs citadas por Fortinet en campañas de password spraying: 212.11.64.250 y 185.196.11.225.
• Cuentas sospechosas: fortiuser, fortinet-support, fortinet-tech-support.
• Puertos a revisar: 443, 4443, 8443, 10443 y cualquier puerto no estándar de SSL-VPN/administración FortiGate.
• Artefactos: cambios de configuración inesperados, usuarios VPN nuevos, scheduled scripts, resets no autorizados, autenticaciones desde ASN/país inusual.

Detección prioritaria

• Buscar logins administrativos exitosos desde IPs desconocidas, especialmente fuera de ventanas de cambio.
• Correlacionar eventos SSL-VPN, FortiGate admin, LDAP/AD y EDR en las 72 horas posteriores a cualquier acceso anómalo.
• Detectar creación de usuarios o grupos, cambios de trusted hosts, habilitación de scripts, alteraciones en políticas VPN o rutas.
• Revisar si cuentas AD/LDAP usadas por FortiGate fueron reutilizadas en otros sistemas internos tras un login VPN.
• Alertar por autenticaciones repetidas fallidas seguidas de éxito desde una misma IP o rango.

Consulta de exposición con Hudson Rock

Hudson Rock mantiene un verificador público para consultar si un dominio u organización aparece en el dataset FortiBleed. La consulta se realiza directamente contra Hudson Rock; este blog no almacena ni procesa el dominio introducido.

Nota: si Hudson Rock no pre-rellena el campo con el parámetro domain, pega el dominio directamente en su buscador oficial.

Respuesta inmediata

1. Terminar sesiones SSL-VPN y administrativas activas.
2. Rotar todas las credenciales Fortinet VPN/admin, priorizando sistemas expuestos a Internet.
3. Activar MFA resistente a phishing para administración y acceso remoto.
4. Retirar la administración FortiGate de Internet; usar red interna, VPN separada u out-of-band.
5. Actualizar FortiOS a releases corregidas y aplicar guía PBKDF2/old-password.
6. Revisar backups/configs: si hubo exposición, tratar hashes y secretos como comprometidos.
7. Hacer hunting lateral en AD, EDR, proxy, DNS y SIEM por cuentas VPN comprometidas.

MITRE ATT&CK

• T1110 - Brute Force.
• T1110.003 - Password Spraying.
• T1078 - Valid Accounts.
• T1133 - External Remote Services.
• T1005 - Data from Local System, si se confirma extracción de configuraciones.
• T1552 - Unsecured Credentials, por credenciales/hashes recuperados de configuraciones.
• T1098 - Account Manipulation, para cuentas FortiGate/VPN creadas o modificadas.
• T1021 - Remote Services, para movimiento posterior con credenciales válidas.

Evaluación CTI

Prioridad: crítica para cualquier organización con FortiGate/SSL-VPN expuesto. Confianza: alta en exposición/abuso de credenciales; media en atribución concreta y método inicial exacto. La atribución a operadores rusoparlantes aparece en fuentes de investigación, pero debe tratarse como hipótesis mientras no existan datos técnicos reproducibles de infraestructura, malware o OPSEC.

Referencias

• CISA: hardening Fortinet devices after credential exposure
• SOCRadar: FortiBleed campaign report
• Arctic Wolf: active FortiBleed campaign
• BleepingComputer: FortiBleed leak analysis
• Hudson Rock: Fortinet exposure checker
• Fortinet PSIRT FG-IR-24-257 / CVE-2025-25250
• Fortinet: attacks at the speed of AI