一批俄语犯罪攻击者,把 Fortinet 防火墙打成了企业凭据库。
研究人员披露,近 74,000 台 Fortinet 设备、超过 21,000 个 IP、194 个国家出现在攻击者数据库里。按 Shodan 暴露面估算,这可能接近互联网上可访问 Fortinet 防火墙的一半。
名单很刺眼:Oracle、Chevron、Lenovo、FedEx、Fortinet 自身、北约防务承包商,以及 Foxconn、Samsung、Comcast、Siemens、PwC、Accenture 等组织的数据都在库中。
这里必须压住一句话:出现不等于整张企业网已经沦陷。现有材料能说明的是,相关设备或凭据暴露在攻击者数据库里;部分组织的凭据被研究者称为真实且仍有效。这个差别很重要。
但风险已经够大。
防火墙站在公网和内网之间。攻击者拿到的不是一串孤立密码,而是可能通向企业 VPN、管理面、AD、Radius 的入口。
这次事故到底暴露了什么
| 维度 | 关键信息 |
|---|---|
| 规模 | 约 74,000 台 Fortinet 设备,21,000+ IP,覆盖 194 个国家 |
| 暴露面 | 据称约占互联网暴露 Fortinet 防火墙的一半 |
| 涉及对象 | 大型企业、IT 服务商、电信、工业、金融、政府和防务相关组织 |
| 攻击路径 | 扫描 FortiGate 远程登录端点,25,000 线程密码喷洒,截获 SSL VPN 认证哈希,再用 45-GPU 集群破解 |
| 后续风险 | 横向进入 AD、Radius 等集中认证系统,为勒索、间谍活动、数据窃取铺路 |
研究人员称,多家组织确认日志里的凭据真实且仍有效。部分设备截至报道时仍在线。
另有说法称,土耳其一家北约防务承包商有机密防务文件被窃取。这个点尤其敏感,但也要分清:它不能自动推导出名单里所有公司都被完整入侵。
攻击者被描述为俄语犯罪团伙,不是已确认的俄罗斯国家行为体。材料也没有把问题归结为 Fortinet 某一个漏洞。
这条链更土,也更难看:
- 远程登录端点暴露在公网;
- 管理员或 VPN 账号存在弱口令、复用口令;
- SSL VPN 认证哈希被截获;
- GPU 集群把破解成本打下来;
- 凭据再被拿去碰 AD、Radius 等认证中枢。
它不像一次单点爆破,更像一张长期没人清的账单。
防火墙为什么成了最值钱的入口
防火墙、VPN、网关这类边界设备,位置天生尴尬。
它们面向公网,又贴着内网。它们负责挡人,也负责放人。权限高,流量重,信任半径大。
攻击者当然懂这个账。
钓鱼打员工邮箱,要等点击、绕 MFA、赌用户行为。打边界设备更直接:扫远程入口,做密码喷洒,拿到哈希,再用 GPU 撞。
25,000 线程不是炫技,是流水线。45 块 GPU 也不是“高级黑客感”,而是把弱口令问题变成可计算的利润。
更麻烦的是反馈循环。
破解出来的密码,会反过来喂给新字典。管理员常用的年份、项目名、公司缩写、键盘模式、默认变体,都会被算法记住。企业内部越喜欢复用命名习惯,攻击者的命中率越高。
这就是“规模就是复杂度”的现实含义。
单个弱密码看起来低级。放到 7.4 万台设备、2.1 万多个 IP、194 个国家里,就不是低级错误了。它变成全球化黑产的原料。
“天下熙熙,皆为利来。”这句老话放在这里很合适。黑产不需要浪漫叙事,它只算账:哪个入口可批量扫描,哪个凭据可转卖,哪个网络进去后能勒索或窃密。
边界设备一旦规模化失守,防御资产就会反过来变成凭据数据库。
安全团队现在该做什么
我不太买账“再买一层安全产品就好了”。
企业当然需要防火墙。但防火墙不是护身符。它是高权限设备,也会被当成第一攻击目标。
对安全负责人和 IT 运维来说,动作应该更具体。
| 优先级 | 该查什么 | 为什么急 |
|---|---|---|
| 最高 | FortiGate 远程管理面是否暴露在公网,HTTPS/SSH 管理入口是否限制来源 IP | 这是攻击者扫描和喷洒的入口 |
| 最高 | SSL VPN 登录日志、失败登录、异常来源国家/地区、短时间高频尝试 | 这能发现密码喷洒和撞库痕迹 |
| 高 | 管理员账号、VPN 账号是否复用密码,是否强制 MFA | 凭据一旦有效,后续横向移动成本会大幅下降 |
| 高 | AD、Radius、LDAP 是否出现来自防火墙或 VPN 网段的异常认证 | 攻击者可能不止停在边界设备 |
| 中 | 本地管理员账号、遗留账号、离职账号、共享账号 | 这些账号最容易被遗忘,也最适合被长期滥用 |
| 中 | 设备补丁、固件版本、配置备份、日志保留周期 | 补丁不是全部,但没补丁会让排查更被动 |
这里有个现实约束:很多企业不是不知道该做,而是做不动。
远程管理入口开着,是为了外包运维方便。共享管理员账号还在,是因为历史系统没人敢动。AD 和 Radius 权限边界混在一起,是因为当年上线时只求快。
采购部门买到了设备,组织没有买到治理。
这才是最难看的地方。
安全预算经常花在可见的盒子、授权、报表上。真正要命的工作反而不好看:账号清理、权限拆分、MFA 强制、日志留存、异常登录响应、离职账号回收、管理面收口。
这些活不适合做发布会,也很难写进漂亮 PPT。但攻击者就从这里进来。
接下来最该观察的,不是名单里还会爆出多少大公司。那个数字会很吓人,但不一定最有用。
更关键的是三件事:
- 这些凭据还有多少仍然有效;
- 攻击者是否已经利用它们进入 AD、Radius 等认证中枢;
- 受影响组织是否能在凭据轮换、日志追溯、管理面收口上跑过黑产转卖速度。
历史上每一代基础设施扩张后,都会迎来治理补课。铁路、电网、电话网、互联网平台都一样。先追覆盖,后补规则;先求可用,事故后才补安全。
防火墙也没逃掉。
企业把越来越多入口接到公网,又把越来越多权限交给集中认证。最后发现,最薄的地方不一定是某个漏洞,而是组织默认“没人会大规模来撞”。
现在有人来了,还带着 GPU 集群。