2026-06-23 06:10:29 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档披露了针对FortiGateSSLVPN设备的全球性凭证喷洒攻击行动FortiBleed，攻击者通过自动化工具对数十万台设备发起超百亿次爆破尝试，成功入侵后植入嗅探器窃取凭证并渗透内网。关键发现包括四家机构被完整攻陷、防御建议强调需将管理界面移出公网、强制重置密码并升级系统。 综合评分： 85 文章分类： 漏洞分析,威胁情报,安全建设,漏洞预警,网络安全

cover_image

FortiBleed 漏洞暴露一场全球性凭证喷洒攻击行动

鹏鹏同学鹏鹏同学

黑猫安全

2026年6月22日 09:15 湖北

在小说阅读器读本章

去阅读

FortiBleed 并非定向针对性入侵漏洞，而是一套规模化攻击流水线。多团伙操作人员针对全球飞塔 FortiGate SSL VPN 设备发起工业化规模攻击。安全情报平台 SecurityDiscovery.com 的研究员弗拉基米尔・“鲍勃”・季亚琴科，在 2026 年 6 月偶然揪出该团伙 —— 只因攻击者自身的基础设施毫无防护、直接暴露在公网中。

勒索资讯网站 Ransomnews 发布的报告写道：“该团伙对 320777 个 FortiGate /remote/login 登录接口、超 24.7 万个 Sophos 门户 /userportal 接口开展全域扫描。随后通过自研工具 forticheck 开启 25000 个并发线程，对每台目标设备使用 3639 组基础账号密码进行凭证喷洒，总计生成 11.6 亿组登录尝试组合。”

同期并行开展另一波攻击行动：动用 50000 个线程对 163650 台 MSSQL 数据库服务器发起总计 21 亿次爆破尝试。这并非定向情报窃取，纯粹依靠自动化工具批量作业。

一旦成功攻入有价值的内网节点，攻击者便植入网络嗅探器，抓取 HTTP、FTP、SMTP、LDAP 等各类明文传输协议中的账号凭证。

报告原文说明：“只要接入可访问的内网资产，攻击者就会部署网络嗅探程序，从 HTTP、FTP、SMTP、POP3、IMAP、LDAP、SNMP、Telnet 流量中扒取明文账号密码。截获的 Kerberos、NTLM 哈希值会上传至一套搭载 45 片英伟达 RTX 4090 显卡的哈希破解集群，由 Hashtopolis 工具统一调度跑包。”

拿到破解后的凭证，攻击者通过 OpenConnect 工具复用截获的会话 Cookie 劫持正在运行的 VPN 会话，径直渗透至活动目录（Active Directory）。后续执行一套标准化内网掠夺操作：导出活动目录完整账号哈希、窃取文件服务器数据、盗取 Kerberos 票据、窃取组策略模板。

这批攻击者并非零散散客：他们在 NAT 网络后的 Kali Linux 虚拟机上操作，确保命令控制服务器不会直连受害方活动目录。团伙依托开源情报按企业营收划分目标等级，最高层级标的企业营收超 1130 亿美元。多名操作员可同时操作同一台虚拟机，通过共享终端会话协同作案。极具讽刺的是，他们用于破解哈希的服务器竟使用默认弱口令运行 —— 这正是他们大肆利用受害企业的同类漏洞。

至少四家机构遭完整攻陷，受害区域覆盖日本、中国台湾、越南、伊拉克、土耳其。影响最严重的案例为一家与北约存在业务往来的土耳其国防承包商，其涉密国防文件遭全部外泄。Ransomnews 并未独立核验外泄文件真实性，相关溯源结论仅为研究员研判，暂未实锤。

本次监测数据集覆盖全球 207 个国家、21613 家机构，合计 73932 台暴露在公网的 FortiGate 设备。从设备总量看印度居首，拉美电信企业的暴露设备密度最高；信息技术服务、电信、金融、政府机构为风险最高行业。

报告总结：“随机抽样一批存在暴露设备的企业，其中 88% 曾出现在盗号木马日志或数据泄露库中，38% 企业员工终端存在活跃盗号木马感染；约 590 家企业信息已登上勒索软件泄露网站。一台暴露在外的 FortiGate 防火墙极少是单一孤立风险，它只是一个显性信号，代表攻击者早已多次盯上这家单位。”

公网暴露的 FortiGate 防火墙绝非孤立问题，而是攻击者已反复探测、渗透该企业的警示信号。

防护处置建议

若企业部署 FortiGate 防火墙，务必尽可能将管理界面、SSL VPN 从公网移除；重置全部管理员账号与本地设备密码，升级 FortiOS 系统版本，强制注销所有在线 VPN 会话，阻断攻击者复用劫持 Cookie；同时重置全体员工账号密码，不可仅修改防火墙账户 —— 大量企业同时存在终端盗号木马感染问题，该风险不可忽视。

研究人员同步发布了 FortiBleed 检测工具，供运维管理员自查所属域名是否存在风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全鹏鹏同学鹏鹏同学《FortiBleed 漏洞暴露一场全球性凭证喷洒攻击行动》