大数跨境

FortiBleed:你的防火墙正在替攻击者监听整张网络

FortiBleed:你的防火墙正在替攻击者监听整张网络 安世加
2026-07-07
8
导读:43万台FortiGate凭证嗅探→勒索部署闭环确认


新闻

News Today

全球约 43 万台 FortiGate 防火墙沦为大规模凭证收割工具,已窃取 1.1 亿条认证数据并直接输送给 INC 及 Lynx 勒索软件团伙。此次攻击并非简单的密码泄露,从凭证窃取到勒索部署存在 30 至 60 天的潜伏窗口期,受害企业域环境极可能已被完全控制。

核心数据:1.1 亿条凭证被嗅探 | 354 家企业域沦陷 | 12+ 企业遭勒索加密 | 同一操作者操控 INC 与 Lynx 双勒索面板

FortiBleed 行动:从凭证窃听到勒索闭环

SOCRadar 追踪到的代号为"FortiBleed"的攻击行动,实质上构成了勒索软件的前端链条。攻击者利用同一套基础设施,先窃取凭证再部署勒索,形成完整闭环,且受害企业名单在两个勒索团伙中高度重叠。

攻击者利用自研 Golang 工具 FortigateSniffer,无需植入恶意软件,仅调用 FortiGate 自带的合法诊断命令diagnose sniffer packet。该命令被改造为全天候被动嗅探器,覆盖 Kerberos、NTLM、RADIUS、RDP、VPN Cookie 等 24 种协议。窃取的数据(明文密码、哈希、票据、Cookie)被自动提取并送入 GPU 集群破解,随后用于横向移动攻克域控。

该攻击具有极强的隐蔽性:仅在莫斯科时间 7:00-18:00 运行,模拟正常工作流量以规避 SIEM 告警。由于未使用恶意软件且利用合法命令,EDR 和流量分析难以识别。唯一的检测线索是审计diagnose sniffer packet的使用时长,正常诊断仅需几分钟,而攻击嗅探往往持续数小时。

紧急处置与建议

针对此次威胁,建议立即执行以下措施:

1. 全面更换凭证:替换所有 FortiGate 管理员及 VPN 账户名、密码和证书,而非仅修改密码。

2. 排查后门账户:搜索并删除设备上名为"adminin"的已知隐藏后门账户。

3. 审计诊断命令:检查diagnose sniffer packet的使用记录,异常时长即代表正在被嗅探。

4. 收敛攻击面:将管理接口从互联网下线,80% 的初始突破源于暴露的管理面板。

5. 升级多因素认证:启用 FIDO2 抗钓鱼 MFA,传统 TOTP 无法防御凭证填充攻击。

6. 假定渗透原则:按域已被渗透的标准进行全域管理员审计。

7. 强化加密策略:将 Kerberos 切换为 AES 加密,限制 SSLVPN 超时时间为 4 小时。

8. 权限与日志管控:通过 RBAC 限制诊断命令仅限特定角色使用,并在 SIEM 中采集 FortiGate CLI 日志设立专项告警。

9. 网络分段:加固网络分段以限制横向移动范围。

安全启示

FortiBleed 事件揭示了两大核心安全问题:

首先,安全设备本身已成为最高价值攻击目标。防火墙拥有最高权限且流经全网流量,一旦失守意味着攻击者同时获得了入口、窃听、操控及伪造能力。

其次,传统的“修改密码”应急响应模式已失效。在 1.1 亿条凭证泄露的背景下,单纯改密仅能关闭部分路径,而票据破解、Cookie 劫持及域管持久化早已完成。企业的响应策略必须从“修复泄露”升级为“假定已被渗透”的全面防御。

信息来源:SOCRadar

【声明】内容源于网络
0
0
安世加
各类跨境出海行业相关资讯
内容 2933
粉丝 0
安世加 各类跨境出海行业相关资讯
总阅读20.8k
粉丝0
内容2.9k