文章总结： FortiBleed攻击活动利用FortiGate防火墙漏洞，将43万台设备变为窃听工具，窃取1.1亿条凭证。攻击链含五步工业化流程，使用定制化Golang程序监控24种协议，主要针对中小企业。防御建议包括轮换凭证、启用多因素认证、排查日志及强化检测能力。 综合评分： 85 文章分类： 漏洞预警,威胁情报,网络安全,解决方案,应急响应

43万台防火墙被集体“窃听”，1.1亿账号密码遭洗劫！FortiGate用户紧急自查

看雪学苑 看雪学苑

看雪学苑

2026年6月24日 18:09 上海

在小说阅读器读本章

去阅读

一场隐秘而凶猛的大规模凭证窃取行动，正在全球范围内撕开企业网络的安全边界。

被命名为 FortiBleed 的攻击活动，已经悄无声息地攻陷了超过43万台 FortiGate 防火墙，直接从实时网络流量中截获了超过1.1亿条用户名、密码和密码哈希。这场行动至少自2026年2月起持续至今，但直到安全研究员 Volodymyr “Bob” Diachenko 在 IP 地址 85.11.187.8:9999 上发现一个暴露的目录，整条罪恶链条才首次浮出水面。

这不是一次简单的漏洞利用，而是一套高度工业化、持续运转的“凭证收割流水线”。攻击者将原本守护企业边界的 FortiGate 设备，变成了自己的隐蔽监听哨。

把防火墙变成窃听器

每一台 FortiGate 防火墙都部署在网络的最前沿，天然地“看见”所有进出流量。攻击者正是瞄准了这一独特的拓扑优势，直接滥用 FortiOS 系统内置的诊断命令 diagnose sniffer packet，在实时流量中截获认证信息，整个过程不触发任何边界告警。

更值得警惕的是，攻击者使用的核心工具是一个名为 FortiGateSniffer 的定制化 Golang 程序。它能同时监控24 种网络协议，精准解析出各类认证数据。这相当于把一套合法的管理员排障工具，变成了深藏于流量之中的“吸尘器”。据 SOCRadar 威胁研究团队分析，该攻击流程的部分环节甚至引入了 AI 驱动的自主渗透测试代理，自动化程度明显跃升了一个台阶。

超43万台设备沦陷，中小企业是重灾区

SOCRadar 的遥测数据显示，截至目前已有 80,553 台 FortiGate 设备和 23,406 个独立域名被牵连，仍有超过 **1.9万台** 防火墙上的嗅探活动处于活跃状态。

受害者画像极具特征：

• 约 66% 的受害企业员工人数不足 200 人；

• 89.5% 的企业年营收低于 1 亿美元。

这揭示出一个残酷的现实——攻击者瞄准的并非只有巨头，而恰恰是那些有能力采购 FortiGate 设备，却未必有足够安全团队来发现隐蔽嗅探的中小企业。受害范围覆盖美国、印度以及东南亚多国，其中印度（11.4%）和美国（10.1%）在受影响域名中占比最高，南亚与东南亚合计约占 27%。

一套完整的“五步工业化”攻击链

SOCRadar 研究员将 FortiBleed 梳理为一条清晰的五阶段攻击链：

1. 凭证收集与侦察

利用已泄露的凭证、定制字典和互联网扫描工具，大规模识别暴露在公网的 FortiGate 设备。

2. 初始访问

自动化工具将发现的主机与凭证逐一配对，同时瞄准 FortiGate、Synology 和 MSSQL 等服务进行登录尝试。

3. 流量收割

一旦获取 SSH 权限，即植入 FortiGateSniffer，捕捉流量中的用户名、明文密码和 NTLM 等哈希值。

4. 凭证变现

被盗的哈希会送入分布式 GPU 破解集群（基于 Hashtopolis 管理）进行高速破解，随后用于活动目录枚举、权限提升和横向移动。

5. 数据窃取与持久化

通过 SMB/DFS 共享窃取文件，并重放捕获到的 Web Cookie 劫持已认证会话，保持长期驻留。

其背后的基础设施还包括一个定制的 Telegram 机器人，用于回传和下发指令，足见其运作规模已近乎“企业化”。

幕后黑手和紧急防御

对防御者而言，当务之急是立即执行以下动作：

• 立即轮换所有与 FortiGate 相关的 VPN 及管理员凭证；

• 强制启用多因素认证，并将管理界面从互联网直接暴露中撤下；

• 排查日志中是否存在 FortiBleed 相关基础设施标记、FortiGateSniffer 工具痕迹，以及异常的 RADIUS/NTLM/Kerberos 行为；

• 强化对网关层网络嗅探和大规模凭证窃取行为的检测能力。

资讯来源：

SOCRadar Threat Research Unit

Security researcher Volodymyr “Bob” Diachenko’s initial discovery

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《43万台防火墙被集体“窃听”，1.1亿账号密码遭洗劫！FortiGate用户紧急自查》