文章总结： 北极狼实验室监测到针对FortiGate防火墙的自动化攻击，利用FortiCloudSSO机制绕过认证，秒级完成登录、配置导出及持久化账户创建。攻击核心目标是窃取含敏感信息的配置文件，部分已修补设备仍受影响。建议立即禁用FortiCloudSSO、限制管理接口访问并重置凭据，以防范配置数据泄露风险。 综合评分： 86 文章分类： 漏洞预警,威胁情报,应急响应,网络安全,数据安全

FortiGate防火墙遭自动化攻击——以配置数据窃取为核心的新一轮恶意SSO活动正在进行

原创

网空闲话 网空闲话

网空闲话plus

2026年1月23日 07:09 北京

网络安全公司-北极狼实验室（Arctic Wolf）于1月21日发布的分析报告显示，自2026年1月15日起该公司持续监测到一轮针对Fortinet FortiGate防火墙的自动化攻击活动。该活动的显著特征并非传统意义上的设备控制或横向渗透，而是在极短时间内通过单点登录（SSO）机制完成管理员登录、系统配置导出，并迅速创建持久化账户，核心目标直指防火墙配置数据本身。多份日志显示，从登录到配置窃取再到账户创建，整个过程往往在数秒内完成，呈现出高度脚本化、规模化的攻击特征。该活动在战术上与2025年12月披露的FortiCloud SSO身份验证绕过事件高度相似，但发生在补丁发布之后，且已有迹象表明部分已修复版本仍可能受到影响。需要注意的是，北极狼实验室还无法确定是否有人利用了补丁绕过漏洞。该团队还注意到一些独立报告称，即使是已完全打好补丁的设备也受到了最新一轮威胁活动的影响，但其无法最终证实情况确实如此。该团队表示，这一系列恶意活动在短时间内蔓延至多个地区。然而，目前尚无确凿证据表明此次攻击活动使用了人工智能。此轮攻击凸显出网络边界设备面临的一种新风险趋势：配置数据本身正成为独立且高价值的攻击目标。

事件背景与时间线梳理

根据Arctic Wolf及多家安全媒体披露的信息，本轮针对FortiGate设备的攻击活动最早可追溯至2026 年1月15日。Arctic Wolf于1月21日发布安全公告，确认其监测到“新一批自动化恶意活动”，涉及对防火墙配置的未经授权更改和窃取；相关媒体报道则在1月22日集中披露更多技术细节。

这一时间点尤为关键。

在2025年12月初，Fortinet曾发布安全公告FG-IR-25-647，披露两个严重身份验证绕过漏洞（CVE-2025-59718与CVE-2025-59719），并发布补丁。按理说，大规模利用活动应在补丁发布前或发布初期出现，但此次攻击却发生在补丁部署窗口期之后，这直接引发了关于“补丁覆盖是否完整”的合理质疑。

攻击入口：始终围绕FortiCloud SSO

参考材料在攻击入口问题上高度一致：所有已确认的入侵事件，均发生在启用了FortiCloud SSO管理员登录功能的FortiGate设备上。

ArcticWolf明确指出，当启用FortiCloud SSO时，攻击者可通过精心构造的SAML消息绕过身份验证。这一机制正是CVE-2025-59718与CVE-2025-59719的核心问题所在，且影响范围覆盖FortiOS、FortiWeb、FortiProxy以及FortiSwitchManager等产品线。

需要强调的是，截至目前，ArcticWolf并未确认2026年1月的攻击是否完全复现了12月漏洞的原始利用方式，但其行为模式与此前观察到的恶意SSO登录事件高度一致。

攻击链条：秒级完成的自动化流程

从日志样本和遥测数据来看，本轮攻击呈现出一个高度固定、几乎无分支的流程：

1）恶意SSO登录

攻击源主要来自少数托管服务提供商IP地址，如104.28.244.115、104.28.212.114、217.119.139.50、37.1.209.19。

最常出现的登录标识为[email protected]，登录方式明确标注为method=”sso”。

2）立即导出系统配置

SSO登录成功后，攻击者通过GUI触发系统配置文件下载，目标文件即完整的防火墙系统配置。日志显示，下载操作与登录使用相同源IP，且几乎不存在时间延迟。

3）创建持久化管理员账户

紧接配置导出操作之后，攻击者会创建新的高权限账户，如secadmin、itadmin、support、backup、remoteadmin、audit等。这些账户通常被赋予super_admin权限，并作为后续访问的备用入口。

上述三个阶段在数秒内连续完成，这一时间特征在多台设备上反复出现，是判断其为自动化攻击而非人工操作的关键证据。

核心目标：为何“配置数据”成为首要目标

与许多针对防火墙和VPN设备的攻击不同，本轮事件中，配置导出是攻击者最先完成、且在所有案例中必然出现的动作。

防火墙配置文件的价值体现在多个层面：

包含管理员账户信息（即使以哈希形式存储）

记录VPN配置、接口绑定、路由与访问控制策略

暴露内部网络结构与安全策略设计逻辑

ArcticWolf在建议中明确指出，一旦配置被导出，应假定其中存储的凭据已被泄露，因为攻击者可以对哈希进行离线破解，尤其是在口令强度不足的情况下。

这意味着，即使攻击者未立即展开进一步行动，配置泄露本身已构成一次严重安全事件。

与2025年12月攻击的联系与差异

从战术层面看，2026年1月的攻击与2025年12月存在明显延续性：

均依赖FortiCloud SSO

均涉及SAML构造绕过

均以管理员登录后迅速执行关键操作为特征

但差异同样明显：

当前攻击发生在补丁发布之后

已有客户反馈称FortiOS7.4.10并未完全解决问题

Fortinet据称计划发布7.4.11、7.6.6和8.0.0以彻底修复CVE-2025-59718

这些信息表明，本轮攻击至少说明一个事实：原有修复并未完全阻断相关攻击路径。

启示及建议

在Fortinet发布更明确修复方案前，所有材料均给出了相同的临时缓解建议：

禁用FortiCloud SSO管理员登录功能

严格限制管理接口，仅允许受信任内部网络访问

一旦发现相关迹象，在打补丁后立即重置所有凭据

Arctic Wolf亦明确提醒，由于初始访问方式尚未完全确认，这些措施并不能保证百分之百阻断攻击，但可显著降低风险。

结语

本轮FortiGate攻击并非以长期控制设备为首要目标，而是系统性、自动化地窃取防火墙配置数据。

攻击流程高度压缩、目标高度一致，显示出明显的规模化意图。这表明，网络边界设备的配置数据，正在从“附带资产”转变为独立且高价值的攻击目标。

在这一背景下，配置安全的重要性，已不再亚于设备本身的控制权。

参考资源

1、https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/

2、https://www.bleepingcomputer.com/news/security/hackers-breach-fortinet-fortigate-devices-steal-firewall-configs/

3、https://cybersecuritynews.com/fortigate-firewalls-hacked/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《FortiGate防火墙遭自动化攻击——以配置数据窃取为核心的新一轮恶意SSO活动正在进行》