文章总结： 知名黑客miyako在暗网批量兜售全球十家机构防火墙访问权限，涉及金融、能源、政府等关键基础设施，可能与FortiWeb零日漏洞CVE-2025-64446有关。文章分析了攻击者背景、安全风险和应对建议，建议企业立即检查并更新FortiWeb/FortiOS，排查异常登录记录，政府机构应发布强制加固通告，网络安全团队需假设防火墙已失陷并进行横向移动排查。 综合评分： 90 文章分类： 威胁情报,漏洞分析,应急响应,网络安全,安全大事件

知名黑客“miyako”批量兜售全球十家机构防火墙访问权限：疑FortiWeb零日漏洞余波显现

原创

网空闲话

网空闲话plus

2025年11月20日 15:43 北京

【2025年11月20日网络安全媒体综合报道】继Fortinet Web应用防火墙FortiWeb被披露存在严重漏洞（CVE-2025-64446），并被CISA列入KEV 已知被利用目录后，暗网论坛出现了一批令人警惕的访问权限售卖帖。美国、泰国、沙特、印尼、塞浦路斯、希腊等国十家来自金融、能源、政府、电信、制造业的组织，其FortiOS 防火墙均被宣称已遭攻陷，并被以“初始访问（Initial Access）”形式出售。这些帖子全部由同一威胁行为者 “miyako” 发布，其售卖模式、目标范围及时间集中性，均与本号11月18日发布的关于“Fortinet 产品漏洞正引发攻击潮”的背景相吻合。虽然现阶段无法确认十起访问均源自CVE-2025-64446，但攻击时间与规模与外界担忧高度一致。

一、十项待售访问权限概览

下表根据参考材料1与参考材料2整理：

| 序号 | 目标名称（帖标题） | 受害国家 | 行业 | 设备与权限 | 严重性（材料原文） | | — | — | — | — | — | — | | 1 | USA Leading Tech Hardware Distributor | 美国 | 科技硬件分销 | FortiOS 防火墙，Admin + CLI | 未标明 | | 2 | Saudi Oil Refinery Venture Capital | 沙特 | Oil & Gas | FortiOS 防火墙，Admin + CLI | Medium | | 3 | Royal Thai Air Force | 泰国 | 军方 | FortiOS 防火墙，Admin + CLI | 未标明 | | 4 | Thailand Government Visa Program（Thai e-Visa） | 泰国 | 政府行政 | FortiOS 防火墙，Admin + CLI | High | | 5 | USA PPE $750M Revenue Company | 美国 | 未知 | FortiOS 防火墙，Admin + CLI | Medium | | 6 | Indonesian Telecom Infrastructure | 印度尼西亚 | 电信 | FortiOS 防火墙，Admin + CLI | 未标明 | | 7 | USA Forensic Lab Testing | 美国 | 未知 | FortiOS 防火墙，Admin + CLI | Medium | | 8 | Venezuelan Bank | 委内瑞拉 | 银行业 | FortiOS 防火墙，Admin + CLI | Medium | | 9 | Eurobank Limited（塞浦路斯） | 塞浦路斯 | 金融服务 | FortiOS 防火墙，Admin + CLI | High | | 10 | National Bank of Greece | 希腊 | 银行业 | FortiOS 防火墙，Admin + CLI | 未标明 |

所有十起待售访问均具备 Admin 或 root 级别 权限，且全部为 FortiOS 防火墙。这与参考材料3中提到的“暗网开始出现批量 Fortinet VPN/访问权限”情况完全一致。

二、与FortiWeb/CVE-2025-64446攻击潮的关联分析

① “批量出售 FortiOS 访问” 与漏洞曝光时间高度重叠

CVE-2025-64446（FortiWeb 路径遍历，可远程执行管理命令）于 11 月 18 日曝光。大量访问出售帖在 11 月 20 日前后集中出现。短时间内出现十余个 相似类型设备（FortiOS 防火墙）的完全控制访问，符合“漏洞被大规模利用”的情形。

② Fortinet 被指“静默修复”，使攻击窗口更大

参考材料3指出Fortinet对漏洞处理不透明，大量企业未及时修补，导致攻击者得以快速入侵。

③ 暗网已有“3000+ Fortinet VPN 权限”售卖信息

这表明攻击者群体可能已组织化、大规模自动化利用 Fortinet 设备弱点。

三、此次十项访问出售的安全风险

1. 攻击面均位于“网络边界”

防火墙（FortiOS）即企业最外层的安全屏障，被攻陷意味着攻击者已具备：可植入持久后门；绕过所有入站/出站规则；劫持VPN访问；在网络内部横向移动。

2. 目标行业集中在高价值领域

包括：金融（3起）；政府/军方（至少3 起）；能源（1起）；科技与电信（2 起）。这些行业均属于关键基础设施或其供应链。

3. 攻击链可能进入“供应链扩散期”

若访问真实，将允许攻击者：入侵银行 SWIFT/核心系统；劫持政府签证数据；控制电信基础设施；获取国防承包商内部网络；获取取证实验室证据链数据。

四、威胁行为者画像：黑客组织 “miyako” 的回归

1. 组织历史地位明确、活跃多年

根据材料，“miyako”：曾是知名的初始访问（IA）黑客组织。早在 2025 年 2 月出现在“BF”泄露论坛。在地下圈子具有历史名声与影响力。

2. 9月18日高调宣布回归

其宣言具有明显挑衅色彩：主题为“我们回来了”；向“老朋友”问好；公然羞辱“蹩脚黑客”；获得论坛高级管理员直接回应“欢迎回来”；这显示该组织在暗网论坛具有较高声望与可信度。

3. 回归后迅速展示实力——六个高价值访问权限

材料提到其于9月26 日一次性出售：全球金融科技公司，美国海军/空军承包商， 加拿大保险机构，美国医疗设备制造商，沙特政府部委，美国 MSSP（管理服务提供商）。且多个访问权限为 root 级别。

这说明 “miyako” 回归后并非“虚张声势”，其确实掌握或获取了一批关键目标的访问权。

4. 本次十帖与之前活动模式与完全一致

包括：主题均为“初始访问出售”；设备类型一致（FortiOS/防火墙）；受害组织横跨欧美、中东、亚太；发布密度极高；本次十帖几乎可被视为其回归后的新一轮攻击成果展示。

猜测该用户擅长防火墙/VPN等边界设备漏洞利用与渗透，并长期经营经类权限交易业务。

五、结语：一场关键基础设施供应链危机正在形成

已有十起FortiOS设备访问权限在暗网公开售卖，而这只是目前能看到的被公开部分。若“miyako”组织拥有更多未披露成果，银行、政府、国防、医疗等行业恐将面临“隐形渗透已发生”的局面。建议：

企业层面：立即检查 FortiWeb/FortiOS是否已更新；排查所有近期管理员登录记录；检查VPN、策略、配置是否异常；

政府与监管机构：对金融、能源、政府机构发布强制加固通告；推动跨境威胁情报共享；警惕供应链级攻击扩散；

网络安全团队：假设“防火墙失陷”，进行横向移动排查；加强零信任框架部署。

延伸阅读

知名黑客组织Miyako高调回归，出手六帖，拟重回访问权限售卖之巅

FortiWeb的重大漏洞恐引发一轮攻击热潮

参考材料

1、暗黑论坛用户miyako的最新十条帖子列表；

2、暗网监测平台对十条帖子的描述；

3、FortiWeb的重大漏洞恐引发一轮攻击热潮，本号前几日文章