對於許多初入行的工程師來說,防火牆通常被視為網路安全的最後一道防線。然而,近期被揭露的 FortiBleed 攻擊行動向我們展示了一個殘酷的現實:當防火牆本身成為被攻破的目標時,它將從保護者變成攻擊者進入內網的絕佳跳板。
這次事件的核心在於一個名為 FortiBleed 的大規模憑證竊取行動。攻擊者並非僅僅嘗試破解單一設備,而是採取了系統性的工業化操作。他們首先在全球範圍極廣的網路中掃描 Fortinet FortiGate 防火牆的登入入口,利用已知的弱密碼組合嘗試暴力破解。一旦成功進入管理介面,他們會部署一個使用 Golang 編寫的自定義封包嗅探器 Packet Sniffer。
封包嗅探器是一種能監控網路流量的工具,在本案例中,它被用來被動地攔截經過防火牆的認證數據。這意味著即使管理員更改了密碼,只要流量經過該設備,攻擊者就能在背景悄悄收集到大量的帳號與密碼。根據數據統計,這次行動影響了全球約 43 萬台設備,累計竊取超過 1.1 億筆憑證。
這類攻擊者在網路犯罪生態系中扮演的角色被稱為初始訪問代理人 Initial Access Broker。他們並不直接執行最後的破壞,而是專門負責尋找漏洞、入侵系統並獲取權限,隨後將這些高價值的訪問權限賣給真正的勒索軟體組織。
這次事件之所以引起高度關注,是因為安全研究機構 SOCRadar 發現了 FortiBleed 的基礎設施與 INC 以及 Lynx 兩個知名勒索軟體組織之間有直接聯繫。研究人員在攻擊者的伺服器中發現,同一名操作員同時登入這兩個勒索軟體組織的談判面板 Negotiation Panel。談判面板是勒索軟體組織用來與受害者協商贖金的私密平台。
這證明了 FortiBleed 竊取的憑證被直接用來發動後續的入侵行動。在被追蹤的案例中,有 409 個目標被確認獲得管理員權限,其中 354 個完成了完整的攻擊鏈,最終導致至少 12 起勒索軟體部署,造成數百台端點設備被加密。
從組織結構來看,這次攻擊並非單打獨鬥,而是一個約 20 人的專業團隊。他們有明確的分工:核心操作員負責高影響力的入侵,而其他技術專家與支援人員則負責維護基礎設施與掃描工具。這種組織化運作使得攻擊效率極高,且目標明確,主要集中在拉丁美洲與亞太地區的製造業、科技業與物流業。
除了 FortiGate 的漏洞,這次調查還揭露了攻擊者可能掌握 Nextcloud 的零日漏洞 Zero-day Vulnerability,即尚未被原廠發現且沒有補丁的漏洞。此外,另有報告指出 FortiClient EMS 存在一個高風險漏洞 CVE-2026-35616,被用來部署 EKZ Stealer 這種資訊竊取軟體,目的同樣是從瀏覽器中盜取憑證。
這次事件給工程師的實務啟示在於,單純依賴設備的預設防禦是不夠的。當設備被植入嗅探器後,內網的所有認證流量都處於透明狀態。因此,實施多因素認證 MFA 是最有效的對抗手段,因為即使攻擊者拿到了密碼,沒有第二層驗證也無法輕易進入系統。同時,應嚴格限制管理介面的對外暴露,僅允許特定 IP 透過 VPN 存取,以減少被大規模掃描的風險。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。