📅 18–19 Haz 2026 · 📰 Help Net Security / Hudson Rock / SOCRadar / CISA · 🎯 FortiGate cihazları (PBKDF2 öncesi config'lere sahip) · TLP:WHITE
Rusça konuşan tehdit aktörü grup, 73.932 benzersiz Fortinet firewall'unun config dosyalarındaki kimlik bilgilerini bir sunucuda yanlışlıkla açığa çıkardı; Hudson Rock + Kevin Beaumont doğruladı. 19 Haziran itibarıyla tespit edilen cihaz sayısı 86.644'e yükseldi.
Veriler 194 ülkeden 21.632 unique domain'i kapsıyor. Listede Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle ve çok sayıda devlet kurumu yer alıyor. Diachenko, Japonya, Tayvan, Vietnam, Irak ve Türkiye'den NATO savunma müteahhidi dahil tam network compromise vakalarını doğruladı.
Veri 'sızıntı' değil, 'config export' — yani saldırganın gerçekten cihaza erişim sağladığı izlenimi veriyor. Her kayıt sektör + ciro + çalışan sayısı + ülke gibi business intelligence katmanı içeriyor — kriminel pazarlarda initial access satışı formatına uygun.
SOCRadar analizine göre %35 generic admin hesabı, %28.3 fabrika varsayılan hesap. Bu, organizasyonların ezici çoğunluğunun fabrika kimlik bilgilerini hâlâ döndürmediğini ortaya koyuyor. Fortinet 2025 başında PBKDF2 credential storage'a geçti, ancak yalnızca firmware güncellemesi sonrası adminin yeniden login olduğu cihazlarda etkin — birçok cihazda hâlâ SHA-256 + salt formatı.
CISA 18 Haziran'da acil uyarı yayımladı. Hudson Rock, etkilenenlerin kendi domain'lerini sorgulayabilecekleri ücretsiz lookup aracı (hudsonrock.com/fortinet) yayımladı.