Nach Angaben von SOCRadar deutet die Zusammensetzung der kompromittierten Konten auf strukturelle Schwächen im Umgang mit Standard- und Alt-Zugangsdaten hin. Dass allgemeine Administratorkonten und eingebaute Fortinet-Systemkonten den Großteil ausmachen, spreche direkt für ein verbreitetes Versäumnis, Standardkonten umzubenennen oder werkseitige Zugangsdaten zu wechseln. Zugleich sei der hohe Anteil organisationsspezifischer Konten bedeutsam, weil er darauf hindeute, dass die Angreifer nicht nur voreingestellte Anmeldedaten nutzten, sondern auch von Unternehmen selbst angelegte Konten kompromittierten.

Die Kampagne lief laut Quelltext weitgehend automatisiert ab. Der Bedrohungsakteur soll das Internet massenhaft nach Fortinet-Endpunkten für Remote-Anmeldungen durchsucht und anschließend ein eigens entwickeltes Werkzeug eingesetzt haben, um die identifizierten Systeme mit bekannten Kombinationen aus Benutzernamen und Passwörtern zu beschießen. Die Angreifer hätten jede funktionierende Kombination überprüft, bevor sie in eine Datenbank bestätigter, gültiger Zugänge aufgenommen wurde.

Hudson Rock beschreibt die Reichweite entsprechend drastisch: Das Ausmaß dieser Kompromittierung erfasse nahezu jeden Bereich der globalen Wirtschaft, keine Branche werde ausgespart. Die Bedrohungsakteure hätten eine verifizierte Datenbank funktionsfähiger Zugangsdaten für einige der größten Unternehmen der Welt aufgebaut.

Auch das britische National Cyber Security Centre ordnet FortiBleed als globale Kampagne ein. Nach dessen Beschreibung richtet sie sich gegen internetseitig erreichbare Fortinet-Firewalls und VPN-Gateways und nutzt Methoden wie Brute-Force-Angriffe, Wörterbuchangriffe und Credential Stuffing.

Als möglicher technischer Hintergrund gilt laut Quelltext der Umgang älterer FortiGate-Versionen mit gespeicherten Zugangsdaten. Arctic Wolf verweist darauf, dass Fortinet in FortiOS 7.2.11, 7.4.8 und 7.6.1 für Administratorzugänge eine auf PBKDF2 basierende Passwort-Hashing-Methode eingeführt und damit den älteren, auf SHA-256 basierenden Speichermechanismus ersetzt hat. Beim Upgrade von früheren Versionen blieben bestehende Administratorpasswörter jedoch so lange als SHA-256-Hashes gespeichert, bis sich der jeweilige Administrator nach dem Upgrade erfolgreich anmelde. Dadurch dürften viele Organisationen Administratorzugänge weiterhin mit älteren, gesalzenen SHA-256-Hashes speichern.

Fortinet selbst erklärte gegenüber The Hacker News, bei den betroffenen Daten handele es sich wahrscheinlich um eine erneute Verbreitung von Daten aus früheren Vorfällen sowie um per Brute Force erlangte Zugangsdaten; dies stehe nicht mit einem aktuellen Vorfall oder einem aktuellen Sicherheitshinweis in Verbindung. Der Hersteller rief Organisationen dazu auf, bewährte Schutzmaßnahmen umzusetzen, darunter das regelmäßige Wechseln von Zugangsdaten und die Aktivierung von Multi-Faktor-Authentifizierung.

Bekannt wurde FortiBleed in der vergangenen Woche, nachdem der Sicherheitsforscher Volodymyr „Bob“ Diachenko einen Server entdeckt hatte, der eine Datenbank mit funktionierenden Anmeldedaten für tausende Firewalls und VPN-Gateways in 194 Ländern enthielt. Laut SOCRadar lagen auf diesem Server außerdem die Werkzeuge und Automatisierungsskripte der Angreifer. CISA hat Fortinet-Kunden inzwischen konkrete Empfehlungen zur Abwehr der laufenden Aktivität gegeben.