FortiBleed 漏洞导致全球企业网络中 75,000 台 Fortinet 防火墙遭受主动攻击

“FortiBleed”活动不仅仅是一个新闻标题，它代表了攻击者瓦解企业安全方式的重大转变。目前，全球 194 个国家中约有 75,000 台面向互联网的 Fortinet 防火墙和 SSL VPN 网关已遭到入侵。

关键在于：这不是一个软件漏洞。你不能仅仅点击“更新”然后继续喝咖啡。FortiBleed 是一个大规模的自动化凭据收集机器。它利用了行业内最肮脏的秘密——我们对静态密码的依赖，以及将管理界面完全暴露在公共互联网上的做法。对于成千上万的组织来说，疯狂的补丁修复完全是转移注意力。攻击者已经进入内部，并掌握了控制权。

入侵机制：75,000 台设备是如何沦陷的

FortiBleed 之所以有效，是因为它简单粗暴。既然可以直接从正门进入，为什么要浪费昂贵的零日漏洞呢？

攻击者正在使用复杂的自动化僵尸网络，通过撞库攻击（Credential Stuffing）猛烈攻击面向公众的管理界面。如果你的 IT 团队将管理门户或 VPN 端点暴露在开放网络中，那么你就在攻击者的目标名单上。这些机器人会系统地测试数百万个泄露或暴力破解的密码，直到找到匹配项。

一旦进入，僵尸网络就会改变策略。它停止扫描并开始深入挖掘。他们不需要绕过防火墙的代码；他们只需要表现得像个合法用户。正如 Arctic Wolf FortiBleed 报告 所指出的，这种规模是前所未有的。我们谈论的是本应是“加固”目标的关键基础设施和政府实体。

“无补丁悖论”：为什么固件更新救不了你

目前 IT 部门中流传着一个危险的误区：只要我们修补了固件，我们就安全了。

错。

可以这样理解：补丁关闭了一扇没锁的门。但在 FortiBleed 的情况下，坏人已经有了钥匙。如果你更新固件，你只是锁上了一扇已经有人站在里面的门。补丁不会撤销被盗的会话令牌。它也不会删除攻击者在首次登录五分钟后创建的“后门”管理员账户。

如果他们使用有效的凭据进行了身份验证，他们就建立了“幽灵访问”（Ghost Access）。他们正在运行绕过标准安全审计的持久隧道。因为他们使用的是有效凭据，所以他们的活动看起来就像普通员工在家登录一样。对于你的入侵检测系统来说，他们是隐形的。如果你指望通过固件更新来消除这种威胁，你实际上是在为黑客敞开网络大门。

立即行动计划：如何保护你的基础设施

如果你正在使用 Fortinet 硬件进行远程访问，请不要再假设你是安全的。将其视为一次主动入侵。以下是夺回控制权的战术清单。

第一步：审计 停止寻找软件漏洞。开始寻找异常行为。深入检查你的 VPN 日志。是否有来自你未开展业务地区的登录？是否有凌晨 3:00 来自未知 IP 段的登录？如果它不符合你的基准，请将其视为危险信号。有关如何构建这些审计的更深入了解，请参阅我们的指南《保护企业 VPN：最佳实践》。

第二步：重置 凭据轮换不再是“最佳实践”，而是生存策略。对所有 VPN 和管理员密码进行全局重置。不要让用户重复使用旧密码，如果服务账户看起来有任何可疑之处，请立即将其禁用。

第三步：强制执行 MFA 如果你仍然在 VPN 上使用单因素身份验证，你基本上是将网络钥匙交给了任何拥有僵尸网络的人。在每一个访问点将多因素身份验证 (MFA) 从“建议”改为“强制”。如果硬件不支持 MFA？今天就将其从公共边缘移除。

超越边界：转向零信任

FortiBleed 的混乱是一个残酷的提醒，即“硬壳软核”的安全模型已经正式死亡。边界是多孔的。网络不是避风港。获胜的唯一方法是停止假设“成功登录”等于“受信任用户”。

我们需要转向零信任架构 (ZTA)。这使得被盗凭据的价值大大降低。通过强制执行基于身份的访问——检查用户上下文、设备健康状况和每个请求的行为模式——你就不再依赖防火墙作为唯一的信任来源。正如 NIST 零信任架构指南 中所述，目标是从“信任但验证”转变为“永不信任，始终验证”。对于寻求现代化的团队来说，学习《如何为远程团队实施零信任》是你能做的最好举措。

主动威胁狩猎：尽早发现攻击者

你无法通过手动查看日志来对抗僵尸网络。这是一场注定失败的战斗。你需要一个能够关联地理位置、时间和频率的模式识别引擎，以实时发现异常。

通过关注这些流量模式，你可以在攻击者横向移动到核心服务器之前抓住他们。这就是你如何从被动的目标转变为主动的猎人。

未来：加固你的网关

将管理界面暴露在公共互联网上的日子已经结束了。如果一个接口不需要从全球网络访问，请将其隐藏在跳转机、私有网络或 ZTNA 解决方案之后。

此外，开始检查设备状态。在允许 VPN 隧道打开之前，网关应验证设备是否已加密、已打补丁并符合公司政策。正如最近 CISA 关于 VPN 安全的警报中所指出的，这些网关的漏洞是恶意行为者的头号目标。缩小攻击面不仅是好的建议，更是维持业务的唯一途径。

常见问题解答

修补我的 Fortinet 防火墙能保护我免受 FortiBleed 攻击吗？

不能。补丁对于一般安全是必要的，但由于 FortiBleed 依赖于已经窃取的有效凭据，固件更新无法驱逐已经通过身份验证的入侵者。你必须强制重置凭据并强制执行 MFA 才能保护你的环境。

我如何知道我的设备是否属于那 75,000 台被入侵的防火墙之一？

检查你的 VPN 和管理日志，查看是否有异常登录时间、意外的地理位置以及不寻常的管理配置更改。如果你发现任何偏离基准的未经授权活动，你应该假设你的设备已被入侵，并启动全面的事件响应。

为什么这次攻击如此成功？

这次攻击通过利用密码卫生差和管理界面暴露这些“低垂的果实”而获得成功。通过大规模自动化测试被盗凭据的过程，攻击者无需寻找任何软件漏洞即可绕过传统的边界防御。

如果我还没有看到可疑活动，我还需要重置凭据吗？

是的。鉴于 FortiBleed 活动的规模，假设你的凭据可能在之前无关的数据泄露中被窃取，并且现在正被僵尸网络使用，这样更安全。主动轮换凭据是使攻击者可能拥有的任何现有访问权限失效的最有效方法。

零信任如何防止此类撞库攻击？

零信任架构消除了对成功登录的固有信任。通过要求对用户身份、设备状态和上下文进行持续验证，ZTA 确保即使攻击者拥有有效密码，如果无法满足额外的动态安全要求，他们也无法访问敏感资源。