W styczniu 2025 roku grupa hakerska o nazwie Belsen ujawniła konfiguracje ponad 15 000 zapór FortiGate na forach hakerskich. Wyciek obejmuje poufne dane, takie jak nazwy użytkowników, hasła (niektóre w postaci jawnego tekstu), certyfikaty oraz reguły zapory.
Źródło wycieku
Atakujący wykorzystali lukę zero-day (CVE-2022-40684) , która pozwalała na obejście uwierzytelniania. Badacz Kevin Beaumont przeprowadził wstępną analizę plików i odkrył dowody wiążące te naruszenia z CVE-2022-40684, luką zero-day w zabezpieczeniach, ujawnioną w październiku 2022 roku. Grupa Belsen ujawniła je dopiero w 2025 roku, po wyczerpaniu możliwości ich wykorzystania. Nawet jeśli w tamtym czasie zaktualizowałeś swoje urządzenie to sam fakt posiadania przez atakujących lub wszystkich chętnych, którzy pobrali dane pełnej konfiguracji urządzenia stanowi poważne zagrożenie.
Dane były do pobrania za darmo. Obecnie cena za dane to 100$.

Pobrane dane są posortowane po kraju. Każdy folder zawiera adresy IP, konfigurację urządzeń i listę poświadczeń.

Konsekwencje wycieku
- Kompromitacja poświadczeń: Ujawnienie nazw użytkowników i haseł umożliwia bezpośredni dostęp do systemów. Nawet jeśli organizacje załatały CVE-2022-40684 po wydaniu poprawek przez Fortigate w 2022 roku, nadal powinny sprawdzić, czy nie doszło do naruszenia bezpieczeństwa.
- Upublicznienie reguł zapory: Wyciek konfiguracji zapory ujawnia strukturę sieci wewnętrznej, umożliwiając potencjalnym atakującym ominięcie zabezpieczeń.
- Naruszenie certyfikatów: Uzyskanie dostępu do certyfikatów może umożliwić nieautoryzowany dostęp do urządzeń lub podszywanie się w bezpiecznej komunikacji.
- Ryzyko długotrwałej eksploatacji: Organizacje, które wprowadziły poprawki po ujawnieniu luki w 2022 roku, nadal mogą być narażone na ryzyko ze względu na wcześniejsze naruszenia bezpieczeństwa.
Działania naprawcze
- Natychmiastowa zmiana haseł: Należy zaktualizować wszystkie hasła urządzeń i VPN, szczególnie te ujawnione w wycieku.
- Audyt i rekonfiguracja zapory ogniowej: Należy zweryfikować reguły zapory pod kątem potencjalnych słabości wynikających z publicznego ujawnienia i wzmocnić kontrolę dostępu.
- Rotacja certyfikatów: Należy unieważnić i zastąpić wszystkie ujawnione certyfikaty cyfrowe w celu przywrócenia bezpiecznej komunikacji.
- Reakcja na incydent i analiza: Należy ustalić dokładny czas wprowadzenia poprawek dla CVE-2022–40684, przeprowadzić analizę potencjalnie zagrożonych urządzeń i monitorować nietypową aktywność.
Dodatkowe informacje
- Większość urządzeń z wycieku działa na wersjach Fortigate 7.x i 7.2.x.
- Zagrożone urządzenia znajdują się w wielu krajach, w tym w USA, Wielkiej Brytanii, Polsce i Belgii.
- Grupa Belsen, mimo że nowa na forach, prawdopodobnie działa od co najmniej 3 lat.
- Z 15 469 unikalnych adresów IP, ponad połowa (54,75%) jest nadal dostępna w skanach, a 32,88% nadal eksponuje interfejsy logowania FortiGate.
- Na liście poszkodowanych znajdują się zarówno małe i średnie firmy, jak i duże przedsiębiorstwa i instytucje rządowe.
Pełna lista podatnych adresów IP znajduje się pod adresem: https://github.com/arsolutioner/fortigate-belsen-leak/blob/main/affected_ips.txt
Informacje o podatnych wersjach:
Podatna wersja | Patch |
FortiOS 7.0.0 do 7.0.16 | Aktualizacja do 7.0.17 i wyższej |
FortiProxy 7.2.0 do 7.2.12 | Aktualizacja do 7.2.13 i wyższej |
FortiProxy 7.0.0 do 7.0.19 | Aktualizacja do 7.0.20 i wyższej |