文章总结： FortiBleed攻击活动利用薄弱身份验证机制而非新漏洞，通过凭证填充和暴力破解窃取FortiGate设备的VPN与管理凭证。主要风险源于弱密码、缺乏MFA及未修复旧漏洞。防御措施包括终止活跃会话、重置凭证、强制MFA、升级至支持PBKDF2哈希的FortiOS版本，并监控可疑账户与异常活动。 综合评分： 82 文章分类： 漏洞分析,威胁情报,安全运营,应急响应,网络安全

FortiBleed 攻击活动针对 FortiGate 设备窃取 VPN 和管理员凭证

原创

ZM ZM

暗镜

2026年6月24日 07:00 北京

在小说阅读器读本章

去阅读

Fortinet发布安全警告，指出名为“ FortiBleed ”的攻击活动正在持续窃取FortiGate设备的凭证。攻击者利用的是薄弱的身份验证机制，而非任何新披露的漏洞。

2026年6月19日，卡尔·温莎发布的一份PSIRT安全公告指出，攻击者正在重复使用之前泄露的凭证，包括FG-IR-26-060和FG-IR-25-647事件中的凭证。他们还使用自动化暴力破解技术来获取对网络边缘设备的未经授权的访问权限。

该公司强调，FortiBleed 并非由新的软件缺陷或零日漏洞引起，而是由于密码安全意识薄弱、缺乏多因素身份验证 (MFA) 以及先前数据泄露事件造成的未修复漏洞所致。

Fortinet 的分析表明，攻击者正在利用凭证填充和高速暴力破解攻击（这些技术越来越多地通过自动化和人工智能得到增强），来入侵面向互联网的 FortiGate 设备上的管理帐户和 VPN 帐户。

Fortinet 已确定可能受影响的系统，并正在主动通知受影响的客户，同时与相关政府机构协调，作为其正在进行的调查的一部分。

该建议强调，未能实施先前发布的补救指南的组织仍面临较高的风险，特别是那些具有旧密码配置或外部暴露的管理接口的组织。

为了减轻主动攻击的影响，Fortinet 敦促立即采取防御措施，首先终止所有活动的管理会话和 VPN 会话，然后全面重置所有凭据。

该公司强烈建议实施严格的密码策略，并要求所有管理员和 VPN 帐户都使用多因素身份验证 (MFA)，以防止未经授权的访问。

此外，建议客户升级到最新的 FortiOS 版本 7.4、7.6 或 8.0，这些版本支持基于 PBKDF2 的凭证哈希，取代了较旧、较弱的加密机制。

安全团队还被要求审核设备配置，以发现入侵迹象，包括未经授权的帐户创建。Fortinet 特别强调了“forticloud”、“fortiuser”和“fortinet-support”等可疑帐户名称，认为它们可能是恶意持久化攻击的潜在指标。

日志分析仍然至关重要，防御人员应密切关注异常的管理员登录、未知的 IP 访问、不寻常的域控制器活动以及内部网络内的横向移动迹象。

进一步加强措施包括限制管理访问权限至受信任的主机、实施本地策略或完全关闭面向互联网的管理接口。

如果怀疑系统遭到入侵，Fortinet 建议将受影响的设备视为已完全入侵，启动事件响应程序，并验证攻击者是否已通过 VPN 或 Active Directory 集成进入内部环境。

值得注意的是，利用 AD/LDAP 身份验证的环境应假定凭据已暴露，并密切监控未经授权的帐户使用或权限提升尝试。

如果怀疑内部遭到入侵，Fortinet 还建议联系其 FortiGuard 事件响应团队进行取证调查和遏制支持。

FortiBleed 攻击事件凸显了威胁行为者行动中一个持续存在的趋势：利用身份漏洞而不是软件缺陷。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《FortiBleed 攻击活动针对 FortiGate 设备窃取 VPN 和管理员凭证》