FortiBleed:74,000 台 Fortinet 防火牆在企業網路攻擊中門戶大開
TL;DR
FortiBleed:74,000 台 Fortinet 防火牆如何成為駭客的後門
資安界正因「FortiBleed」事件而震盪,這是一場大規模的憑證竊取行動,形同將企業網路的鑰匙交給了網路犯罪分子。這並非小規模的漏洞,而是全球 194 個國家中,共有 73,932 台 Fortinet FortiGate 防火牆系統的管理員及 VPN 憑證遭到曝光。從政府機構到跨國企業巨頭,影響範圍極為驚人。敏感的設定資料與驗證權杖目前正如同球員卡一般,在犯罪論壇上被公開交易。
這場行動背後的推手是誰?一個俄語系的威脅組織不僅僅是偶然發現這些憑證,他們還專門打造了一套強大的 45-GPU 離線破解設備,專門用來暴力破解攔截到的 SSL VPN 驗證雜湊值。來自 Bitsight 的資安研究人員已證實這不僅僅是理論。投機駭客與精密的國家級駭客組織,已經開始利用這些資料入侵內部的 Active Directory 環境。
技術上的「原罪」
FortiBleed 混亂的核心在於舊版 FortiOS 處理密碼雜湊的方式。事實證明,即使在套用韌體更新後,管理員密碼仍常以脆弱的 SHA-256 雜湊形式殘留在系統中。除非使用者實際登入,否則這些密碼不會自動升級為更強大的 PBKDF2 標準。正是這個「等待登入」的微小空窗期,給了攻擊者足夠的時間來蒐集並從容破解這些雜湊值。
其規模令人不寒而慄。這些攻擊者針對 FortiGate 目標發動了超過 11.6 億次憑證嘗試,並針對 MSSQL 系統發動了另外 21 億次攻擊。在 45-GPU 叢集的運算下,他們成功驗證了超過 21,600 個不同網域中 73,932 個獨特防火牆 URL 的憑證。這些資料是真實且危險的。如 Hudson Rock 等研究人員一直在追蹤其擴散情況,共識非常明確:這次外洩是廣泛且系統性的。
誰是目標?
全球約有一半可從網際網路存取的 FortiGate 設備受到波及。受害者名單宛如財星 500 大企業名錄——三星 (Samsung)、西門子 (Siemens) 和甲骨文 (Oracle) 皆在其中,此外還有各類政府機構。在一次令人毛骨悚然的事件中,攻擊者利用這些竊取的憑證潛入一家北約 (NATO) 國防承包商的網路,並竊走了敏感的機密文件。
一旦進入網路,他們不會就此罷手。他們會部署標準工具組,旨在維持存取權限並繪製內部網路地圖。如果您是系統管理員,請務必留意以下名稱:
- Chisel: 一種透過 HTTP 進行的快速 TCP/UDP 通道,讓繞過防火牆限制變得輕而易舉。
- Neo-reGeorg: 一種惡意的 Web Shell,用於橫向移動與深度偵察。
- EternalBlue: 取得立足點後,用於橫向移動與提升權限的經典選擇。
| 指標 | 詳細資訊 |
|---|---|
| 受影響設備 | 73,932 個獨特 FortiGate URL |
| 全球影響範圍 | 194 個國家 |
| 主要漏洞 | 脆弱的 SHA-256 密碼雜湊 |
| 攻擊基礎設施 | 45-GPU 叢集 |
| 觀察到的活動 | 內部 AD 資料的活躍外洩 |
善後處理
如果您正在使用 FortiGate,請務必立即檢查您的韌體狀態。該漏洞影響執行 7.2.11、7.4.8 和 7.6.1 之前版本的 FortiOS 設備。請不要只聽信片面之詞,請檢查 網路威脅情報 資訊來源,確認您的基礎設施是否已包含在網路上流傳的外洩資料集中。
修復方法雖然直接但耗時:請將韌體更新至最新的修補版本。這些版本會強制轉換為更強大的密碼雜湊標準。除此之外,您還需要審核管理員帳號與 VPN 記錄,檢查是否有任何可疑活動。正如 Recorded Future 所指出的,這些攻擊者不會輕易罷手。您需要輪替所有憑證,並在所有對外公開的管理介面上強制執行多因素驗證 (MFA)。
發現託管此龐大憑證清單伺服器的功勞歸於研究人員 Volodymyr "Bob" Diachenko。他的工作凸顯了一個殘酷的現實:在企業級設備中依賴舊有的雜湊方法是災難的根源。如果您的對外 FortiGate 設備最近未進行更新,您必須假設它已經遭到入侵。
這場行動是動態的。這些組織一旦感受到壓力就會立即改變戰術。您最好的防禦手段是持續不斷的修補週期,並以嚴謹的態度監控網路流量。請留意 Chisel 或 Neo-reGeorg 的跡象,監控對外流量中的異常情況,並觀察是否有任何橫向移動的徵兆。在如此大規模的外洩事件後,「足夠好」的安全性已不足以應對。
