CSIRT Panamá Aviso 2026-06-19: ALERTA DE SEGURIDAD | FortiBleed: ~75,000 Firewalls Fortinet con Contraseñas de Administrador Comprometidas

TOPICS:alertas avisos avisos de seguridad DataBreach FortiBleed FortiGate fortinet Vulnerabilidad

Posted By: CSIRT Panamá June 19, 2026

Gravedad: Alta

Fecha de publicación: 04 de junio de 2026

Sistemas Afectados

Dispositivos: Firewalls Fortinet FortiGate con interfaz de administración expuesta a internet

Alcance: Aproximadamente 75,000 dispositivos (~50% de todos los firewalls Fortinet con cara a internet según Shodan)

Distribución geográfica: 194 países, con 21,632 dominios únicos afectados — impacto global, sin distinción de sector

Versiones: Dispositivos con firmware que aún almacena credenciales en SHA-256 con Salt (sin migración a PBKDF2), particularmente aquellos cuyos administradores no iniciaron sesión tras aplicar las actualizaciones de principios de 2025.

DESCRIPCIÓN

FortiBleed es el nombre dado a una filtración masiva de credenciales de dispositivos Fortinet, confirmada por el investigador Kevin Beaumont (DoublePulsar) con apoyo de Hudson Rock, y reportada inicialmente por Volodymyr Diachenko

Los datos expuestos provienen de exportaciones de configuración de los dispositivos y contienen credenciales de administrador en texto plano. El vector de ataque inicial aún es desconocido — podría tratarse de alguno de los múltiples CVEs conocidos de Fortinet o de una vulnerabilidad nueva no divulgada.

La CISA (Agencia de Ciberseguridad e Infraestructuras de EE.UU.) emitió una advertencia urgente el 19 de junio de 2026, señalando que las credenciales filtradas ya están siendo utilizadas activamente en campañas de intrusión. Se han registrado aproximadamente 1,160 millones de intentos de acceso contra objetivos FortiGate, evidenciando una presión masiva y sostenida sobre infraestructuras perimetrales.

Los datos filtrados incluyen además: tipo de empresa, país e ingresos — formato típico de grupos de eCrime para la venta de accesos iniciales.

IMPACTO

Acceso remoto no autorizado a firewalls y a las redes internas que protegen

Modificación de configuraciones de seguridad y creación de usuarios backdoor

Compromiso total de la red corporativa protegida por el dispositivo

Afecta a organizaciones de múltiples sectores y países

Los datos circulan en el ecosistema eCrime, lo que sugiere posible venta de accesos iniciales

REMEDIACIÓN

Recomendamos las siguientes buenas prácticas para reducir el riesgo frente a este tipo de incidentes:

Implementar políticas de complejidad de contraseñas (https://docs.fortinet.com/document/fortigate/7.6.4/administration-guide/551047/customizing-complexi…)
Habilitar múltiple factor de autenticación (https://docs.fortinet.com/document/fortigate/7.6.4/administration-guide/014906/administrator-accoun…)
Restringir acceso de administración de “host” seguros.
Restringir acceso en las interfaces administración utilizando “local-in policy” (https://docs.fortinet.com/document/fortigate/7.6.4/administration-guide/363127/local-in-policy)
Remover acceso administrativo de los FortiGates en interfaces de cara a Internet, y habilitarlo solo en interfaces internas o métodos aislados.

REFERENCIAS

https://unaaldia.hispasec.com/cisa-urge-a-blindar-dispositivos-fortinet-tras-la-filtracion-fortibleed/

CSIRT PANAMA · Computer Security Incident Response Team
Autoridad Nacional para la Innovación Gubernamental
E-Mail: incidentes@cert.pa · info@cert.pa
Phone: +507 520-2378 · Web: https://cert.pa · X: @CSIRTPanama · Key ID: 16F2B124