Ausgelöst wurde die Warnung durch einen Datensatz, den der Sicherheitsforscher Volodymyr „Bob“ Diachenko entdeckt hat. Er stieß auf einen Server mit offenbar gültigen Fortinet-VPN-Zugangsdaten, darunter Benutzernamen, E-Mail-Adressen und Klartext-Passwörter für 73.932 Firewall-URLs weltweit. Laut Diachenko enthielt das Material zudem Angaben zur Branche, zum Umsatz und zur Mitarbeiterzahl der jeweiligen Organisationen.

Diachenko zufolge wirkte der Datensatz so zusammengestellt, als solle er die Planung künftiger Angriffe erleichtern. Die Bedrohungsdatenfirma Hudson Rock, die den Fund ebenfalls analysierte, bezeichnete ihn als eine der größten bekannten Sammlungen kompromittierter Fortinet-Zugangsdaten. Nach Angaben des Unternehmens umfasst der Datensatz 21.632 eindeutige Domains in 194 Ländern.

Zu den im Datensatz vertretenen Organisationen zählen laut Quelle unter anderem Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T und Toyota. Hinzu kommen zahlreiche Behörden sowie Betreiber kritischer Infrastruktur aus den Bereichen Telekommunikation, Gesundheitswesen, Finanzdienstleistungen und Fertigung. Die meisten betroffenen Geräte entfielen auf Indien, die USA, Taiwan, Mexiko, die Türkei, Thailand, Kolumbien, Malaysia, Chile und die Vereinigten Arabischen Emirate.

Cybersecurity-Experte Kevin Beaumont hat nach eigenen Angaben die Echtheit eines Teils der Zugangsdaten unabhängig bestätigt. Er erklärte, die Daten seien echt, beträfen rund 75.000 Geräte, fast alle betroffenen Systeme seien noch online und es handle sich offenbar um aktuelle Daten. Beaumont zufolge deutet vieles darauf hin, dass die geleakten Informationen aus Fortinet-Konfigurationsdateien stammen.

Unklar bleibt allerdings, wie die Daten abgeflossen sind. Weder ist bekannt, ob sie durch die Ausnutzung bereits offengelegter Fortinet-Schwachstellen erbeutet wurden, noch ob eine neue Sicherheitslücke oder ein anderer Weg dahintersteckt. Auch Diachenko sagte, die Quelle der Konfigurationsdaten sei bislang unbekannt.

Der Forscher erklärte außerdem, hinter der Operation stehe eine russischsprachige Gruppe, die mutmaßlich rund 1,16 Milliarden Versuche gegen mehr als 320.000 FortiGate-Ziele unternommen habe, um SSL-VPN-Authentifizierungs-Hashes abzufangen. Hudson Rock hat zudem ein kostenloses Suchwerkzeug veröffentlicht, mit dem Organisationen prüfen können, ob sie von FortiBleed betroffen sind.

CISA verweist in diesem Zusammenhang auch auf die grundsätzliche Bedrohungslage rund um Fortinet-Produkte. Erst am Montag berichtete das Threat-Intelligence-Unternehmen Defused, dass mehrere kritische Schwachstellen in Fortinets Bedrohungserkennungsplattform FortiSandbox inzwischen in Angriffen ausgenutzt werden. Insgesamt verfolgt CISA 26 Fortinet-Sicherheitslücken, die in den vergangenen Jahren nachweislich aktiv ausgenutzt wurden; 13 davon kamen bei Ransomware-Angriffen zum Einsatz.