FortiBleed : 75 000 firewalls Fortinet compromis via cluster GPU loué sur Vast.ai

Sun, 21 Jun 2026 00:00:00 +0000

🗓️ Contexte

Article publié le 21 juin 2026 par Hudson Rock via la plateforme Infostealers. Il s’agit d’une analyse technique approfondie de la campagne FortiBleed, initialement divulguée par Hudson Rock, portant sur la compromission de 75 000 firewalls Fortinet FortiGate exposés sur internet, couvrant 21 632 domaines.

⚙️ Mécanisme d’attaque

Les attaquants ont adopté un pipeline entièrement automatisé et assisté par IA :

Collecte : exfiltration de fichiers de configuration chiffrés depuis des appareils Fortinet exposés
Infrastructure de craquage : location de 36 GPU enterprise (3 instances × 4 GPU + 3 instances × 8 GPU) sur la plateforme Vast.ai, pour un coût d’environ 14,40 $/heure (~350 $/jour)
Orchestration : gestion du cluster via un bot Telegram et le framework open source Hashtopolis
Développement : scripts et bots écrits avec l’éditeur de code assisté par IA Cursor
Post-exploitation : utilisation de frameworks de pentest agentiques open source pour l’énumération Active Directory

🔢 Performances cryptographiques

Hachages SHA-256 salés (legacy Fortinet) : jusqu’à 720 milliards de hachages/seconde → mots de passe complexes épuisés en quelques minutes
PBKDF2 (FortiOS récent) : entre 180 et 360 millions de hachages/seconde → attaques par dictionnaire et règles ciblées en quelques secondes
Résultat : craquage de ~143 000 hachages Kerberos et ~33 000 hachages NetNTLM ciblant des contrôleurs de domaine internes

🌐 Impact supply chain

Les firewalls compromis servent de beachheads pour pivoter latéralement vers des fournisseurs tiers, MSPs et partenaires de confiance, transformant une compromission périmétrique en crise de chaîne d’approvisionnement en cascade.

FortiBleed on CyberVeille

FortiBleed : 75 000 firewalls Fortinet compromis via cluster GPU loué sur Vast.ai

🗓️ Contexte

⚙️ Mécanisme d’attaque

🔢 Performances cryptographiques

🌐 Impact supply chain