两家网络安全公司本周披露,一场被称为 FortiBleed 的攻击活动正在波及全球大量 Fortinet 防火墙和 VPN 设备。Hudson Rock 称发现超过 7.3 万个唯一 Fortinet URL 被入侵,SOCRadar 则称被黑设备超过 3 万台;两组数字口径不同,不能简单相加。
这起事件最该警惕的地方,不是 Fortinet 又出现了一个新的零日漏洞。根据两家公司报告,攻击者主要依靠自动扫描互联网上暴露的 Fortinet 设备,再用已知或已泄露密码登录。边界安全设备一旦被拿下,就可能变成监听点,继续收集流经网络的新凭据,反过来扩大攻击面。
FortiBleed 的规模已经越过普通撞库事件
Hudson Rock 报告点名的相关企业包括 Accenture、Comcast、Foxconn、Lenovo、Oracle、Samsung、Siemens 和 PwC。TechCrunch 称,多数被点名公司以及 Fortinet 未回应置评请求,Lenovo 仅确认收到请求但未进一步回应。现有信息只能说明这些公司的 Fortinet 相关凭据或设备出现在报告中,不能推导为所有公司均已发生数据泄露。
| 项目 | 公开说法 | 需要分清的边界 |
|---|---|---|
| 攻击对象 | Fortinet 防火墙和 VPN | 主要是暴露在互联网侧的边界设备 |
| 规模口径 | Hudson Rock:7.3 万+唯一 URL;SOCRadar:3 万+设备 | URL 与设备不是同一统计维度 |
| 受影响区域 | 印度、美国、台湾、墨西哥较多 | 报告称全球都有受害者 |
| 受影响行业 | IT 服务、建材、电信,另有政府机构 | 目前不等于确认内部业务系统已被攻破 |
独立安全研究员 Kevin Beaumont 表示,他分析后确认这些数据“可信”。这场攻击最早由安全研究员 Bob Diachenko 在周末披露。两家安全公司还称,幕后团伙疑似俄语使用者;这不等于确认俄罗斯政府或国家级攻击参与其中。
真正失守的是凭据治理,而不是单个厂商补丁
Fortinet 设备过去几年多次成为攻击目标,常见路径是利用 SSL-VPN、防火墙管理接口等组件漏洞。类似情况也发生在 Ivanti、Cisco、Palo Alto Networks 等边界产品上:企业把它们放在网络入口处,却往往没有按核心系统标准管理账号、日志和暴露面。
FortiBleed 的不同之处在于,它更像一场“旧密码回收战”。攻击者不需要复杂漏洞链,只要企业没有更换泄露凭据、没有关闭公网管理入口、没有限制 VPN 登录条件,就可能被批量接管。对安全团队来说,这比单纯打补丁更麻烦,因为问题散落在资产清单、密码轮换、离职账号、第三方运维账号和日志留存里。
企业安全负责人现在不该只问“Fortinet 有没有新补丁”。更现实的动作是拉出所有 FortiGate、防火墙管理口和 VPN 暴露资产,强制轮换管理员与 VPN 凭据,检查异常登录来源,排查是否存在未知配置变更,并把 MFA、IP 白名单和最小权限补上。若设备已被当作监听点,单次改密也未必足够,还要追溯它曾经接触过哪些账号。
接下来要看三件事
短期最关键的变量,是 Fortinet 是否给出统一排查指南,以及被点名公司是否确认受影响范围。第二个变量是攻击者是否已从设备层进入内部网络;目前公开报告还不足以判断。第三个变量更长期:企业是否会把边界设备从“装上就放着”的运维资产,提升为持续审计的高风险系统。
这对网络和基础设施团队意味着一笔不讨喜的成本:不是买一台新设备就能解决,而是要补资产台账、凭据生命周期和访问策略。旧账不清,安全设备本身也会成为入口。