FortiBleed 大规模凭证窃取活动：73,000+ Fortinet 防火墙遭入侵

攻击手法：非零日漏洞，而是糟糕的安全习惯

尽管名称让人联想到“心脏出血”(Heartbleed)，但 FortiBleed 与软件漏洞毫无关系。多家安全公司——包括 TechCrunch、SOCRadar、Hudson Rock 和 Arctic Wolf——均确认，攻击中未使用任何未知漏洞（零日漏洞）。

入侵实际上遵循一个两步走的供应链式攻击路径：

• 第一步：通过信息窃取恶意软件收集凭证。 攻击者首先从感染了信息窃取型恶意软件的员工和管理员电脑上，窃取了 Fortinet 管理界面和 VPN 门户的登录凭证。
• 第二步：破解从暴露配置文件中获取的密码哈希。 一旦获得初步访问权，攻击者便从暴露在互联网上的 FortiGate 设备中提取配置文件，并使用一个 45 张显卡的 GPU 集群 破解存储的 SSL VPN 密码哈希，成功的关键在于利用了弱口令或长期未更换的密码。

SOCRadar 证实，攻击者从面向互联网的 FortiGate 设备上至少收集了 30,791 个经过验证的有效凭证。Arctic Wolf 的独立分析也证实，受影响设备数量在 30,000 至 75,000 台之间。

知名受害者

被多方报告确认的受害者包括 埃森哲 (Accenture)、康卡斯特 (Comcast)、富士康 (Foxconn)、联想 (Lenovo)、甲骨文 (Oracle)、三星 (Samsung)、西门子 (Siemens) 和普华永道 (PwC)，以及至少 15 个国家的政府机构。据路透社报道，受影响设备最多的国家是美国、印度和台湾地区。

受影响最严重的行业，根据数据分析，包括：

• IT 服务（托管服务提供商、云运营）
• 建筑材料（大型跨国供应商）
• 电信（一级运营商和互联网服务提供商）

多个消息源指出以上三个行业是重灾区。

同时发生的关联攻击

在 FortiBleed 事件被曝光的同时，研究人员还观察到针对超过 16 万台暴露在互联网上的 MSSQL 服务器发起的 21 亿次暴力破解登录尝试，据信这些攻击与同一威胁组织有关。

幕后黑手

SOCRadar 和 Hudson Rock 均将此活动归咎于一个 多操作者的俄语威胁组织。攻击者在被攻陷的设备上维护着活跃的后端基础设施——包括定时任务、遥测系统和实时凭证窃取循环——这表明这是一个复杂且持续进行的行动，而非一次性的数据窃取。

建议应对措施

包括 Hudson Rock、Arctic Wolf 和 Fortinet 在内的安全机构建议所有使用 Fortinet 设备的组织立即采取以下行动：

• 立即强制轮换 所有 FortiGate 管理员和 SSL VPN 账户的密码。
• 对每个 VPN 登录强制启用多因素认证 (MFA)——这是防止凭证填充攻击最有效的单一控制手段。
• 审计设备日志，寻找未授权的配置导出、未知的定时任务以及异常的 VPN 会话。
• 限制管理接口的访问来源，仅允许受信任的 IP 地址访问；切勿将管理界面或 SSH 暴露在公共互联网上。

免费查询门户

Hudson Rock 已上线了一个 免费查询门户，允许任何组织搜索自己的域名是否出现在这 73,932 台设备的凭证转储中。该工具于 2026 年 6 月 17 日至 18 日期间被广泛报道。