Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

FortiBleed-kyberhyökkäyskampanjan vaikutukset näkyvät myös Suomessa

23. kesäkuuta 2026 klo 13.46

Kesäkuussa 2026 paljastunut FortiBleed-kampanja on yksi vuoden merkittävimmistä maailmanlaajuisista kyberhyökkäyksistä. Se koskee erityisesti Fortinetin FortiGate-palomuureja ja SSL-VPN-laitteita, joihin on kohdistunut tietomurtoja ja tietomurron yrityksiä aiemmin vuotaneita ja varastettuja kirjautumistunnuksia hyväksikäyttäen. Kyberturvallisuuskeskus on kartoittanut suomalaisia kohdeorganisaatioita ja antanut toimenpideohjeita tapaukseen liittyen.

Mistä on kyse?

Kesäkuussa 2026 maailmalla havaittiin Fortinetin FortiGate-palomuureihin ja SSL-VPN-ympäristöihin kohdistuva hyökkäyskampanja, jolle tietoturvatutkijat antoivat nimen “FortiBleed”. Kampanjassa hyökkääjät ovat pyrkineet pääsemään käsiksi organisaatioiden IT-ympäristöihin aiemmin varastetuilla tai vuotaneilla käyttäjätunnuksilla. Kyseessä ei ole uuden haavoittuvuuden hyväksikäyttökampanja. Hyökkääjät yhdistävät aiemmin varastetut tiedot automatisoituihin hyökkäyksiin, kuten brute force -hyökkäyksiin, joissa kokeillaan automaattisesti suuria määriä salasanoja sekä credential stuffing -hyökkäyksiin, joissa vuotaneita tunnuksia käytetään muiden järjestelmien kirjautumisiin.

“Kyseessä on maailmanlaajuinen kampanja, jonka seurauksena myös Suomessa on havaittu muutamia hyökkäyksiä. Kaiken kaikkiaan parinkymmenen suomalaisen kohteen tiedot ovat vaarantuneet vuodoissa ja olemme olleet yhteydessä näihin organisaatioihin sekä antaneet toimenpideohjeita. Suomen osalta vaikutukset ovat tietojemme mukaan pysyneet maltillisina.”, kertoo Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Sanna Autio.

Ketä tämä koskee?

Tutkijoiden mukaan maailmanlaajuisesti yli 70 000 Fortinet-laitetta saattaa olla altistunut hyökkäyskampanjalle. Vaikutukset ulottuvat jopa 194 maahan ja mukana on suuria yrityksiä muun muassa teollisuuden, teleoperaattoreiden, energiasektorin ja julkishallinnon puolelta.

Suurin riski koskee organisaatioita, joiden laitteiden hallintakäyttöliittymä näkyy julkisiin verkkoihin ja jotka eivät ole vaihtaneet kirjautumistunnuksia tai ottaneet käyttöön monivaiheista tunnistautumista (MFA).

Kyberturvallisuuskeskus on jo ollut yhteydessä vuodoissa havaittuihin suomalaisiin kohdeorganisaatioihin. On kuitenkin mahdollista, ettei kaikkia kohteita ole vielä tavoitettu.

Mikäli organisaatiosi käyttää Fortinetin FortiGate-palomuureja tai SSL-VPN-tuotteita, voit selvittää seuraavilla työkaluilla, ovatko ne mahdollisesti altistuneet:

Toimenpiteet

Toimenpiteisiin tulee ryhtyä, mikäli epäilet, että vuoto koskee omaa organisaatiostasi. Mahdolliset poikkeamat tulee käsitellä tietoturvaloukkauksena.

  1. Vaihda välittömästi kaikki FortiGate-laitteiden ylläpito- ja VPN-tunnukset
  2. Ota monivaiheinen tunnistautuminen (MFA) käyttöön ja varmista käyttöönotto kaikilla ylläpito- ja VPN-käyttäjätunnuksilla
  3. Päivitä FortiGate-laitteet uusimpaan tuettuun ohjelmistoversioon (7.4, 7.6 tai 8.0)
  4. Varmista konfiguraation oikeellisuus ja tarkista ne hyökkääjän tekemien muutosten varalta. Jos mahdollista, vertaa muutoksia aiempaan oikeaksi tunnettuun konfiguraatioon
  5. Tarkista lokitiedot poikkeavien ylläpitäjien toimenpiteiden tai tuntemattomien IP-osoitteiden varalta
  6. Vähennä hyökkäyspinta-alaa ja rajoita pääsyä ylläpitoportaaleihin. Rajoita laitteidesi ulkoista hallintaa sallimalla se vain luotettujen isäntälaitteiden kautta (hyvä), käyttämällä local-in policy -käytäntöä (parempi) tai poistamalla internetin ylitse tapahtuva hallinta kokonaan (paras).

Mikäli havaitset tietomurron:

  1. Ota mahdollisuuksien mukaan kaikki saatavilla olevat lokitiedot talteen ennen laitteen sammuttamista/päivitystä/resetointia.
  2. Hyökkääjän mahdollisen jatkoleviämisen tutkimisen suhteen kannattaa tarkastella saatavilla olevista ympäristön lokitiedoista mihin kyseiseltä Fortigate-laitteelta on liikennöity, ja tarvittaessa kohdentaa tutkintaa niihin laitteisiin.
  3. Toimi valmistajan ohjeartikkelin suositusten mukaan 

4. Tee asiasta rikosilmoitus ja vapaaehtoinen ilmoitus Kyberturvallisuuskeskukselle. 

Kyberturvallisuuskeskus pyrkii omilla toimenpiteillään varmistamaan, että kotimaisten organisaatioiden osalta tietomurtojen määrä on mahdollisimman pieni, sekä jo murretut organisaatiot tiedostavat asian ja suorittavat tarvittavat toimenpiteet sen seurauksena.

Pidä verkon reunalaitteet suojattuina

Verkon reunalaitteet toimivat usein yritysverkkojen portinvartijoina. Pääsy laitteeseen voi avata tien yrityksen sisäverkkoon. Haavoittuvuudet sekä virheet konfiguraatiossa ovat kirjautumistunnusten vuotamisen ohella merkittävimmät murrolle altistavat tekijät.

Suojaa verkon reunalaitteet:

  • Varmista, että verkon reunalaitteista ei näy internetiin kuin ehdottomasti tarvittavat palvelut.
  • Laitteiden hallintakäyttöliittymät ja muut hallintarajapinnat on poistettava käytettävistä suoraan julkisesta verkosta ja pääsy niihin on järjestettävä muulla tavalla.
  • Reunalaitteiden kaikissa käyttäjätunnuksissa, niin käyttäjien kuin ylläpitäjien, on syytä olla käytössä monivaiheinen tunnistautuminen.
  • Tunnista kaikista kriittisimmät sekä riskin alaiset laitteet ja kiinnitä niiden hallintamalleihin sekä -prosesseihin erityistä huomiota tietoturvakäytäntöjä suunniteltaessa.

Lue lisää verkon reunalaitteista ja niiden suojaamisesta: