返回
快讯

攻击者利用 Fortinet FortiSandbox 三个漏洞

威胁情报公司 Defused Cyber 发现,攻击者过去 24 小时内正在利用 Fortinet FortiSandbox 的 CVE-2026-39813、CVE-2026-39808 和 CVE-2026-25089。前两项已在 2026 年 4 月修补,第三项上周才修复;建议尽快核查并更新相关设备。

CVE-2026-39813CVE-2026-39808CVE-2026-25089CVE-2026-35616

根据威胁情报公司 Defused Cyber 的说法,恶意行为者正在利用 Fortinet FortiSandbox 中的多个安全漏洞。

该公司在 X 上发布的消息称,过去 24 小时内,已观察到 CVE-2026-39813、CVE-2026-39808 和 CVE-2026-25089 正在被利用。

CVE-2026-39813(CVSS 评分:9.1)是 FortiSandbox JRPC API 中的路径遍历漏洞,可能允许未认证攻击者通过特制的 HTTP 请求绕过身份验证。

第二个缺陷 CVE-2026-39808(CVSS 评分:9.1)属于操作系统命令注入,可能允许未认证攻击者通过构造的 HTTP 请求执行未授权代码或命令。Fortinet 已在 2026 年 4 月修补这两个漏洞。

另一方面,CVE-2026-25089(CVSS 评分:9.1)已于上周修复。Fortinet 将其描述为影响 FortiSandbox、FortiSandbox Cloud 和 FortiSandbox PaaS WEB UI 的操作系统命令注入漏洞,可能允许未认证攻击者通过特意构造的 HTTP 请求执行未授权命令。

Defused Cyber 指出,CVE-2026-25089 的利用代码不仅显示出使用人工智能(AI)模型开发的迹象,而且本身也存在缺陷。该漏洞的可用利用代码尚未公开披露。

近年来,Fortinet 设备中的漏洞已成为攻击者重点盯上的目标。2026 年 4 月,Fortinet 为影响 FortiClient EMS 的一个严重安全漏洞(CVE-2026-35616,CVSS 评分:9.1)发布了带外补丁,并称该漏洞已在野外被利用。

FortiBleed 使超过 30,000 台 Fortinet 防火墙遭入侵

与此同时,SOCRadar 披露,疑似讲俄语的威胁行为者作为一项持续的大规模行动的一部分,已入侵超过 30,000 台 Fortinet 防火墙;该行动系统性地针对跨 194 个国家/地区的网络安全设备。

该网络安全公司是在识别出一个与该活动相关的运营服务器后发现这一情况的。

SOCRadar 表示:“攻击者的数据库包含来自 194 个国家/地区、属于公司和政府机构的超过 30,791 台设备的登录凭据。这些不是随机猜测,而是经过验证、可用的用户名和密码,并由攻击者使用全天候运行的自动化工具自行测试和确认。”

受影响的访问点包括银行、电信运营商、医院、大学、政府机构、能源公司和跨国公司的设备。印度、美国、墨西哥、哥伦比亚、泰国、台湾、印度尼西亚、马来西亚、新加坡和法国位列前 10;在政府部门中,印度占所有互联网暴露 Fortinet 部署的 60%。

该公司补充说:“这个团伙采用两步法。首先,他们会把此前泄露的 Fortinet 密码列表对全网设备进行尝试——许多组织在早先泄露后从未更改密码。其次,一旦进入设备,他们就被动监控网络流量,以收集经过设备的更多凭据。随后,这些凭据又被用于入侵更多设备。”

更新

在 2026 年 6 月 17 日发布的后续分析中,Hudson Rock 表示,FortiBleed 行动已“成功针对跨 194 个国家/地区的 73,932 个唯一防火墙 URL,导致 21,632 个唯一受影响域名”。这些活动细节最早由 Volodymyr “Bob” Diachenko 上周在 LinkedIn 上披露。

Diachenko 说:“这是一个讲俄语的多操作者团伙,正在全球范围内针对 Fortinet FortiGate SSL VPN 设备进行大规模凭据收集。”他还表示,该行动对 320,777 个 FortiGate 目标发起了 11.6 亿次凭据尝试,并对 163,650 台 MS-SQL 服务器发起了 21 亿次尝试。

该团伙的手法不止于凭据收集和复用。据评估,攻击者会拦截 SSL-VPN 身份验证,在由 Hashtopolis 管理的 45 GPU 集群上破解哈希,并转移进入内部 Active Directory 环境,以进行后续利用和持久化。

据信,攻击者正在扫描互联网暴露的 Fortinet 实例,试图使用已知密码列表入侵并记录成功登录。随后,被入侵的设备会被用作监听点,捕获经过其中的更多凭据,形成一个“持续的未授权访问循环”。

Hudson Rock 指出:“这份数据集中一个特别令人担忧的细节,是大量极其复杂的密码也被成功攻破。然而,一旦密码以明文形式被恢复,复杂性就完全失去作用。如果攻击者正在重用已知的明文凭据来绕过边界,那么复杂度策略就无法提供任何保护。”

独立审查该数据集的网络安全研究员 Kevin Beaumont 表示,这些凭据是真实有效的,并补充说,在受影响设备中,大多数情况下 FortiGate 管理界面都暴露在互联网上。Beaumont 还表示:“这些数据看起来像是从设备的配置导出中获得的,因为其中包含只有从设备本身才能看到的内容。”

在回应置评请求时,Fortinet 告诉 The Hacker News,这些凭据收集自之前的事件和暴力破解攻击,不涉及任何新的安全漏洞或入侵。

Fortinet 发言人说:“Fortinet 已知悉一项据报针对 Fortinet 防火墙和 VPN 网关的第三方凭据收集行动。我们致力于保护客户,并持续、勤勉地监控威胁行为者的暗网活动。”

“根据我们的初步分析,相关数据很可能是此前事件数据的再次分享,以及凭据暴力破解,并不涉及任何当前事件或通告。”

“按照我们 3 月博客中的指导,采取常规最佳实践、包括定期轮换安全凭据并启用多因素认证的组织,面临的凭据泄露详情风险很低。Fortinet 将继续调查这些报告,客户安全始终是我们的首要任务。”

(本文在发布后更新,补充了 FortiBleed 行动的更多细节以及 Fortinet 的回应。)