Parinkymmenen suomalaisorganisaation tiedot vaarantuivat FortiBleed-vuodoissa

Nyt tiedetään, kuinka lähelle FortiBleed pääsi. Kyberturvallisuuskeskus vahvisti 23. kesäkuuta, että aiemmin raportoidun kampanjan vaikutukset näkyvät myös Suomessa. Parinkymmenen suomalaisen kohteen tiedot ovat vaarantuneet vuodoissa.

Kampanjasta kerrottiin täällä jo kesäkuun puolivälissä. Tällä kertaa uutta on kotimainen kuva: keskus on laskenut uhrit, nimennyt alat ja ottanut yhteyttä niihin.

Vaikutus on toistaiseksi pysynyt melko hillittynä.

– Vaikutukset ovat tietojemme mukaan pysyneet maltillisina, Kyberturvallisuuskeskus kertoo tiedotteessaan.

Vaarantuneet kohteet jakautuvat neljälle sektorille. Mukana on teollisuutta, teleoperaattoreita, energia-alaa ja julkishallintoa. Nämä eivät ole sattumanvaraisia organisaatioita vaan juuri sellaisia, joiden verkkoihin moni muu nojaa.

Keskus ei ole jäänyt odottamaan. Se on jo ollut yhteydessä vuodoissa havaittuihin suomalaisiin kohdeorganisaatioihin.

Miksi luvut hyppäsivät – ilman uutta aukkoa

Aiemmassa uutisoinnissa pyöri luku noin 74 000. Nyt vastaan tulee 110 miljoonaa tunnusta ja 430 000 palomuuria. Kuulostaa siltä, että tilanne räjähti käsiin. Niin ei kuitenkaan käynyt.

Luvut mittaavat eri asioita. Recorded Futuren 73 932 FortiGate-osoitetta tarkoittivat laitteita, joissa ylläpito- tai VPN-tunnukset olivat paljastuneet ja yhä elossa julkistushetkellä. Uudempi 110 miljoonan luku kuvaa kaikkia tunnuksia, jotka FortigateSniffer-työkalu on aikojen saatossa siepannut tunnistautumisliikenteestä. Recorded Future erittelee lisäksi noin 1,16 miljardia kirjautumisyritystä 320 777 kohteeseen.

Kyse on siis hyökkäyksen eri vaiheista, ei uudesta murrosta. Tilanne ei ole pahentunut uudeksi aukoksi.

Olennaisinta on, mitä keskus painottaa tunnusten alkuperästä.

– Kyseessä ei ole uuden haavoittuvuuden hyväksikäyttökampanja, Kyberturvallisuuskeskus toteaa.

Rikolliset käyttävät aiemmin varastettuja tunnuksia uudelleen. He yhdistävät ne raakaan arvaamiseen ja niin sanottuun credential stuffing -tekniikkaan ja kohdistavat ne FortiGate-palomuureihin ja SSL-VPN-laitteisiin. Vanha salasana, joka jäi vaihtamatta, on tässä se haavoittuvuus.

Kuka tämän takana on

Kampanjaa pyörittää taloudellisesti motivoitunut, venäjänkielinen pääsynvälittäjä. Toiminta on jatkunut helmikuusta 2026 lähtien. Uhreista noin 66 prosenttia on alle 200 hengen yrityksiä. Miksi juuri IT-palveluntarjoajat? Erityisesti ne ja MSP-talot ovat olleet maalina, koska niiden kautta avautuu pääsy moneen asiakkaaseen kerralla.

Mitä tehdä

Ohjeet koskevat ennen kaikkea ylläpitäjiä ja IT-vastaavia. Kyberturvallisuuskeskus suosittelee näitä toimia heti.

• Vaihda välittömästi kaikki FortiGate-laitteiden ylläpito- ja VPN-tunnukset.
• Ota monivaiheinen tunnistautuminen (MFA) käyttöön.
• Päivitä FortiGate-laitteet uusimpaan tuettuun ohjelmistoversioon.
• Tarkista laitteiden asetukset tunnettua hyvää tilaa vasten.
• Käy lokit läpi: etsi luvattomia ylläpitotoimia ja tuntemattomista IP-osoitteista tulleita kirjautumisia.
• Vähennä hyökkäyspinta-alaa ja rajoita pääsyä ylläpitoportaaleihin.

Pelkkä salasanan vaihto ei riitä, jos sama tunnus on käytössä muualla. Käy siis läpi kaikki paikat, joissa samaa ylläpitotunnusta tai sen muunnelmaa on saatettu käyttää.

Epäilyttävistä havainnoista ja todennetuista murroista voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.

Onko parinkymmenen kohteen luku lopullinen? Tuskin. Vanhoja tunnuskasoja käydään läpi koneellisesti, ja uusia osumia voi vielä ilmaantua. Kuinka moni suomalainen organisaatio ehtii vaihtaa tunnuksensa ennen kuin niitä kokeillaan, jää nähtäväksi.