FortiBleed:74,000 台 Fortinet 防火墙凭据泄露,企业网络正遭受大规模攻击
TL;DR
FortiBleed:74,000 台 Fortinet 防火墙如何成为黑客的“敞开大门”
安全界正因“FortiBleed”事件而震动,这是一场大规模的凭据窃取行动,实际上已将企业网络的控制权拱手让给了网络犯罪分子。这绝非小打小闹:全球 194 个国家的 73,932 台 Fortinet FortiGate 防火墙系统的管理员和 VPN 凭据已完全暴露。从政府机构到跨国企业巨头,其后果令人震惊。敏感的配置数据和身份验证令牌目前正在犯罪论坛上像集换式卡牌一样被交易。
这场行动背后的推手是谁?一个讲俄语的威胁组织,他们并非偶然发现这些凭据,而是专门构建了一个高性能的 45-GPU 离线破解集群,专门用于暴力破解拦截到的 SSL VPN 身份验证哈希。来自 Bitsight 的安全研究人员证实,这并非理论推测。机会主义黑客和复杂的国家级黑客组织已经在使用这些数据闯入内部的 Active Directory 环境。
技术上的“原罪”
FortiBleed 混乱的核心在于旧版本 FortiOS 处理密码哈希的方式。事实证明,即使在应用了固件更新后,管理员密码在系统中往往仍以脆弱的 SHA-256 哈希形式存在。除非用户手动登录,否则这些哈希不会自动升级到更强大的 PBKDF2 标准。正是这个微小的“等待登录”窗口,给了攻击者足够的时间来获取哈希并从容地进行破解。
其规模令人不寒而栗。这些攻击者针对 FortiGate 目标发起了超过 11.6 亿次凭据尝试,另有 21 亿次针对 MSSQL 系统。在 45-GPU 集群的加持下,他们成功验证了超过 21,600 个不同域名下的 73,932 个唯一防火墙 URL 的凭据。数据是真实的,且极具危险性。像 Hudson Rock 这样的研究人员一直在追踪其传播情况,共识很明确:此次泄露范围广泛且具有系统性。
谁在瞄准镜下?
全球约一半可从互联网访问的 FortiGate 设备都卷入了此次事件。受害者名单堪称“财富 500 强”名录——三星、西门子和甲骨文等均在其中,此外还有各类政府机构。在一个特别令人不寒而栗的事件中,攻击者利用这些被盗凭据潜入了北约国防承包商的网络,并窃取了敏感的机密文件。
一旦进入,他们并不会就此罢手。他们正在部署一套标准工具包,旨在维持持久性并绘制内部网络地图。如果您是系统管理员,请务必警惕以下名称:
- Chisel: 一种基于 HTTP 的快速 TCP/UDP 隧道,使绕过防火墙限制变得轻而易举。
- Neo-reGeorg: 一种恶意的 Web Shell,用于横向移动和深度侦察。
- EternalBlue: 一旦找到立足点,这是进行横向移动和提权的经典选择。
| 指标 | 详情 |
|---|---|
| 受影响设备 | 73,932 个唯一 FortiGate URL |
| 全球覆盖 | 194 个国家 |
| 主要漏洞 | 脆弱的 SHA-256 密码哈希 |
| 攻击基础设施 | 45-GPU 集群 |
| 观察到的活动 | 内部 AD 数据的主动外泄 |
清理残局
如果您正在运行 FortiGate,请务必立即核实您的固件状态。该漏洞影响运行 7.2.11、7.4.8 和 7.6.1 之前版本的 FortiOS 设备。不要只听信一面之词;请检查 网络威胁情报 源,查看您的基础设施是否已包含在网上流传的泄露数据集中。
修复方法简单但工作量巨大:将固件更新到最新的补丁版本。这些版本强制转换为更强的密码哈希。此外,您需要审计管理员账户和 VPN 日志,查找任何看起来可疑的活动。正如 Recorded Future 所指出的,这些攻击者不会轻易罢手。您需要轮换所有凭据,并在所有暴露于公共互联网的管理界面上强制执行多因素身份验证 (MFA)。
发现托管此海量凭据列表服务器的功劳归于研究员 Volodymyr "Bob" Diachenko。他的工作揭示了一个残酷的现实:在企业级设备中依赖遗留哈希方法是灾难的根源。如果您的面向互联网的 FortiGate 设备最近没有更新,您必须假设它已经被入侵。
这场行动是动态的。这些组织一旦感到压力就会改变策略。您最好的防御是持续不断的补丁更新周期,并以审慎的眼光监控网络流量。请留意 Chisel 或 Neo-reGeorg,监控出站流量中的异常情况,并观察任何横向移动的迹象。在如此大规模的泄露事件之后,“足够好”的安全防护已不再适用。
