返回
快讯

CISA警告Fortinet客户应对FortiBleed

CISA敦促FortiGate用户采取措施,防范针对大量可从互联网访问设备的持续恶意活动。FortiBleed已影响86,644台设备,攻击者疑似使用泄露凭据、暴力破解和credential stuffing。建议立即终止会话、重置密码、启用MFA并检查日志。

CVE-2026-24858CVE-2025-59718CVE-2025-59719

美国网络安全与基础设施安全局(CISA)周四敦促使用 FortiGate 设备的 Fortinet 客户采取措施,防范针对数以千计可从互联网访问设备的持续恶意活动。

这场大范围行动被认为由讲俄语的威胁行为者实施,代号为 FortiBleed。截至 2026 年 6 月 19 日,受影响设备数量为 86,644 台。

根据 SOCRadar 的数据,通用管理员账户(35%)和 Fortinet 内置系统账户(28.3%)合计占被攻破凭据的大多数。组织专用账户占其余被泄露凭据的 36.7%。

SOCRadar 表示:“这直接表明,默认账户未被重命名或出厂凭据未被轮换,导致攻击者在不需要暴力破解之前,就已经拥有了一份高度可靠的目标名单。”

“组织专用账户排在首位意义重大。这意味着攻击者不仅在收集默认凭据,也成功攻破了由组织自行创建的账户,这些账户的密码可能来自先前泄露,而后一直未被更改。”

受影响最严重的前三个行业是电信、政府和教育;暴露最多的地区位于印度、美国、墨西哥、哥伦比亚和泰国。

据称,威胁行为者先对互联网进行大规模扫描,寻找 Fortinet 远程登录端点,然后使用一款定制工具,向这些已识别端点喷洒已知的登录名和密码组合,试图入侵。

这一全自动攻击围绕一种可自我维持的两步方法展开——

威胁行为者先针对互联网上的设备尝试一份经过筛选的泄露 Fortinet 密码列表。

一旦获得访问权限,他们就被动监控经过这些设备的网络流量,以收集更多凭据,再用这些凭据去攻陷更多设备。

这些凭据是真实有效的,攻击者会在把每一条加入确认可用登录数据库之前先进行验证。

Hudson Rock 表示:“这次泄露的规模波及全球经济几乎每个行业,没有任何行业幸免。威胁行为者已经为一些全球最大企业建立了一个经过验证的可用凭据数据库。”

英国国家网络安全中心(NCSC)将 FortiBleed 描述为一场针对可从互联网访问的 Fortinet 防火墙和 VPN 网关的全球行动,使用了暴力破解、字典攻击和 credential stuffing 等方法。

据信,威胁行为者很可能利用了较旧的凭据哈希机制,以及凭据历史上在 FortiGate 配置文件中的存储方式,实施了这次大规模攻击。

Arctic Wolf 表示:“Fortinet 在 FortiOS 7.2.11、7.4.8 和 7.6.1 中,为管理员凭据引入了基于 PBKDF2 的密码哈希,取代了旧的基于 SHA-256 的存储机制。不过,从早期版本升级时,现有管理员密码在对应管理员成功登录并完成升级后,之前仍会以 SHA-256 哈希形式存储。”

“因此,许多组织很可能仍在使用较旧的 SHA-256 with Salt 哈希机制存储管理员凭据。”

Fortinet 发言人在发给 The Hacker News 的声明中表示:“相关数据很可能是对先前事件数据的再次共享,以及对凭据的暴力破解,而非与任何当前事件或通告有关。”同时敦促组织遵循最佳实践,包括定期轮换安全凭据并启用多因素认证(MFA)。

CISA 提出了以下防御建议:

终止所有活动的 SSL VPN 和管理会话,重置所有 Fortinet VPN 和管理员密码,尤其是面向互联网的系统,并执行强密码策略。

确保使用 Password-Based Key Derivation Function 2(PBKDF2)算法存储管理员凭据,并移除较弱的旧哈希。

检查防火墙、VPN、身份验证和域控制器日志,查看是否存在可疑行为迹象,包括未经授权的配置更改。

在所有外部网关和管理界面上启用抗钓鱼 MFA。

缩小攻击面并锁定管理功能。

FortiBleed 事件最早于上周曝光,安全研究员 Volodymyr “Bob” Diachenko 发现了一台服务器,其中包含跨 194 个国家的数千台防火墙和 VPN 网关的可用登录凭据数据库。根据 SOCRadar,这台服务器还存放了攻击者的工具和自动化脚本。

这些发现再次表明,凭据复用和糟糕的密码卫生会被恶意行为者武器化;此外,边界安全设备仍然是获取企业环境初始访问权的利润丰厚目标。

更新

Fortinet 于 2026 年 6 月 19 日在一篇帖子中表示,FortiBleed 行动很可能涉及威胁行为者重用来自先前事件的凭据,例如 CVE-2026-24858、CVE-2025-59718 和 CVE-2025-59719,并结合对弱密码卫生且未启用多因素认证(MFA)设备的暴力破解技术。

为防御这类恶意活动,公司列出了以下建议:

终止所有管理员和 VPN 会话并重置凭据。

实施 MFA。

升级到 7.4、7.6 或 8.0 的最新版本。

检查防火墙和 VPN 用户以及其他配置,确认是否存在未经授权的更改。

审核日志,查找来自未知 IP 地址的异常管理员访问,以及横向移动、异常访问、可疑账户或未经授权的配置更改。

通过受信任主机(good)、local-in policy(better),或直接移除互联网管理功能(best),限制外部管理。

Fortinet 首席信息安全官 Carl Windsor 表示:“如果配置了 AD/LDAP 集成,那么必须将该账户视为已被攻陷,并监控 AD 中是否有该账户用于其他地方的身份验证,或创建额外账户的情况,同时监控网络中是否存在横向移动。”