“FortiBleed“攻击活动曝光全球7.5万台Fortinet防火墙

一场被命名为"FortiBleed"的大规模凭证泄露攻击活动被研究人员发现，该活动已导致全球数万台Fortinet设备遭到入侵，研究人员警告称攻击者可能持续保有对受影响企业环境的访问权限。

此次事件最初由安全研究员Volodymyr Diachenko披露。他在领英上发文，称发现了一份由攻击者控制的列表，其中包含通过"各种手段"收集的可用FortiGate密码。

随后，威胁情报机构SOCRadar的研究团队在独立调查中发现了一台属于某未具名威胁行为者的在线服务器，服务器上存有被盗的FortiGate密码、攻击工具、自动化基础设施、受害者名单，以及一些可能揭示攻击者身份的信息。

"溯源工作仍在进行中，但操作痕迹已相当清晰。"SOCRadar研究人员在一篇博客文章中表示，所使用的工具和目标选择方式与俄语系威胁行为者的行为模式高度吻合。

根据SOCRadar、Hudson Rock以及安全研究员Kevin Beaumont的独立分析，威胁行为者系统性地从暴露在互联网上的Fortinet FortiGate防火墙中收集配置文件，并利用这些文件还原出可用的管理员凭证。目前，初始入侵途径尚不明确。

watchTowr首席执行官Benjamin Harris表示，此次攻击活动与他近期所观察到的趋势相符。"现实情况令人不安——现代漏洞利用并不总是追求即时破坏，而是在于收集那些在漏洞被修补后仍具长期价值的数据。"他还补充说，这些凭证很可能是攻击者长期利用多个漏洞，持续从面向外部的敏感Fortinet应用程序中积累所得。

目前，Fortinet尚未就媒体的置评请求作出回应。

事件规模与波及范围

SOCRadar最初报告称，该数据集包含超过30,791台设备的有效登录凭证，但Beaumont与Hudson Rock的进一步分析将受影响设备数量修正至75,000台，约占Shodan平台上可检索到的互联网暴露Fortinet防火墙总量的50%。

研究人员发现，受影响设备遍布194个国家，涉及超过21,000个域名。

据悉，该数据集包含从被入侵配置文件中提取的管理员凭证和SSL VPN凭证。研究人员指出，此次行动高度自动化，使攻击者得以大规模收集、处理并破解凭证。

SOCRadar分析显示，受影响最严重的国家依次为印度、美国和墨西哥，三国合计泄露凭证接近12,000条。从凭证类型分布来看，企业专属凭证是被探测频率最高的类别，表明此次攻击具有明显的企业定向特征。

Beaumont就潜在危害解释称，威胁行为者"可以远程登录并获取对防火墙乃至整个网络的远程访问权限"，还可修改设置（包括安全控制策略），并创建后门账户。

技术层面：密码哈希机制的脆弱性

对此次攻击活动的深入调查揭示了部分Fortinet设备更易遭到破解的原因。

研究人员注意到，许多受影响系统采用较旧的哈希算法存储管理员凭证，这类算法在抵御离线密码破解攻击方面远不如新版实现方式。

Arctic Wolf研究人员在一篇博客文章中解释称："Fortinet在FortiOS 7.2.11、7.4.8和7.6.1版本中引入了基于PBKDF2的管理员密码哈希机制，取代了旧有的SHA-256存储方式。然而，当系统从较早版本升级时，现有管理员密码仍以SHA-256哈希值形式存储，直到对应管理员在升级后完成首次登录，才会触发算法更新。"

研究人员指出，这一机制可能导致大量组织的管理员凭证仍以较弱的"SHA-256加盐"方式存储。

安全建议

研究人员建议各组织将暴露的FortiGate配置文件中所涉及的凭证视为已泄露，并立即轮换受影响的管理员密码和VPN密码。

其他建议包括：强制启用多因素认证（MFA）、限制管理界面的互联网访问，以及检查设备是否存在未授权访问迹象。

此外，研究人员还建议升级至受支持的FortiOS版本，并替换弱密码及重复使用的密码。"完成FortiOS升级后，要求所有管理员至少登录一次防火墙，系统将自动将加密方式切换为PBKDF2。"研究人员表示，管理员密码也可通过super_admin账户手动更新。

Q&A

Q1：FortiBleed攻击活动是如何窃取Fortinet设备凭证的？

A：攻击者系统性地从暴露在互联网上的Fortinet FortiGate防火墙中收集配置文件，并利用这些文件还原出可用的管理员凭证及SSL VPN凭证。整个操作高度自动化，可大规模完成凭证收集、处理与破解。初始入侵途径目前尚不明确，但研究人员推测这些凭证是长期利用多个漏洞逐步积累所得。

Q2：为什么部分Fortinet防火墙更容易被破解？

A：许多受影响的设备使用了较旧的SHA-256加盐哈希算法存储管理员密码，该算法抵御离线破解攻击的能力远弱于新版PBKDF2机制。Fortinet虽已在FortiOS 7.2.11、7.4.8和7.6.1中引入PBKDF2，但从旧版本升级后，只有管理员再次登录才会触发密码存储方式的更新，导致大量设备仍沿用旧算法。

Q3：发现设备受FortiBleed影响后应该怎么做？

A：应立即轮换所有管理员密码和VPN密码，并视现有凭证为已泄露。同时建议启用多因素认证（MFA）、限制管理界面的互联网访问、检查是否存在未授权访问记录，并升级至最新FortiOS版本。升级后，需让所有管理员至少登录一次，以触发密码加密方式自动升级为PBKDF2。