FortiBleed:74,000 個 Fortinet 防火牆淪為黑客門戶
TL;DR
FortiBleed:74,000 個 Fortinet 防火牆如何淪為黑客的門戶
安全界正因「FortiBleed」而震驚,這是一場大規模的憑證竊取行動,實際上已將企業網絡的控制權拱手讓給了網絡罪犯。這並非小問題;我們面對的是全球 194 個國家中,共有 73,932 個 Fortinet FortiGate 防火牆系統的管理員及 VPN 憑證被公開。從政府機構到跨國企業巨頭,其影響範圍令人震驚。敏感的配置數據和身份驗證令牌目前正在犯罪論壇上像球員卡一樣被交易。
這場行動背後的推手是誰?一個俄語威脅組織不僅僅是偶然發現這些憑證,他們還專門構建了一個強大的 45-GPU 離線破解裝置,專門用於破解被攔截的 SSL VPN 身份驗證雜湊(hashes)。Bitsight 的安全研究人員已證實這不僅僅是理論。機會主義黑客和精密的國家級黑客組織已經在利用這些數據入侵內部的 Active Directory 環境。
技術上的「原罪」
FortiBleed 混亂的核心在於舊版 FortiOS 處理密碼雜湊的方式。事實證明,即使在應用了韌體更新後,管理員密碼往往仍以脆弱的 SHA-256 雜湊形式殘留在系統中。在用戶實際登入之前,這些密碼並不會自動升級到更強大的 PBKDF2 標準。那個微小的差距——即「等待登入」的窗口期——給了攻擊者足夠的時間來收集這些雜湊並隨意破解。
其規模令人不寒而慄。這些攻擊者針對 FortiGate 目標發起了超過 11.6 億次憑證嘗試,並針對 MSSQL 系統發起了另外 21 億次嘗試。憑藉後台運作的 45-GPU 集群,他們成功驗證了超過 21,600 個不同域名中 73,932 個獨特防火牆 URL 的憑證。數據是真實的,而且非常危險。Hudson Rock 等研究人員一直在追蹤其傳播情況,共識很明確:這種暴露是廣泛且系統性的。
誰是目標?
全球約有一半可從互聯網存取的 FortiGate 設備受到波及。受害者名單猶如《財富》500 強企業的點名冊——Samsung、Siemens 和 Oracle 等均在其中,還有各種政府機構。在一個特別令人毛骨悚然的事件中,攻擊者利用這些被盜憑證潛入了一家北約(NATO)國防承包商的網絡,並竊取了敏感的機密文件。
一旦進入,他們不會只是坐著不動。他們正在部署一套標準工具包,旨在維持持久性並繪製內部網絡地圖。如果您是系統管理員,這些名稱是您需要警惕的:
- Chisel: 一種基於 HTTP 的快速 TCP/UDP 隧道,使繞過防火牆限制變得輕而易舉。
- Neo-reGeorg: 一種惡意的 Web Shell,用於橫向移動和深度偵察。
- EternalBlue: 一旦找到立足點,這是進行橫向移動和權限提升的經典選擇。
| 指標 | 詳細資訊 |
|---|---|
| 受影響設備 | 73,932 個獨特 FortiGate URL |
| 全球覆蓋 | 194 個國家 |
| 主要漏洞 | 脆弱的 SHA-256 密碼雜湊 |
| 攻擊基礎設施 | 45-GPU 集群 |
| 觀察到的活動 | 內部 AD 數據的活躍外洩 |
善後處理
如果您正在使用 FortiGate,您需要立即檢查您的韌體狀態。該漏洞影響運行 7.2.11、7.4.8 和 7.6.1 之前版本的 FortiOS 設備。不要只聽我們的一面之詞;請檢查 網絡威脅情報 資訊源,看看您的基礎設施是否已經成為網上流傳洩漏數據集的一部分。
修復方法簡單但耗時:將韌體更新到最新的修補版本。這些版本強制轉換為更強大的密碼雜湊方式。此外,您需要審核您的管理員帳戶和 VPN 日誌,查看是否有任何可疑活動。Recorded Future 指出,這些攻擊者不會輕易罷手。您需要輪換所有憑證,並在每個暴露於公共互聯網的管理介面上強制執行多重身份驗證 (MFA)。
託管此龐大憑證列表的伺服器是由研究員 Volodymyr "Bob" Diachenko 發現的。他的工作強調了一個殘酷的現實:在企業級設備中依賴舊有的雜湊方法是災難的根源。如果您的面向互聯網的 FortiGate 設備最近沒有更新,您必須假設它已經被入侵。
這場行動是動態的。這些組織一旦感到壓力就會改變戰術。您最好的防禦是持續不斷的修補週期,並以警惕的眼光監控您的網絡流量。留意 Chisel 或 Neo-reGeorg,監控您的出站流量是否有異常,並注意任何橫向移動的跡象。在如此大規模的洩漏事件之後,「足夠好」的安全措施已不足以應對。
