FortiBleed事件:一名黑客中间人把73000台防火墙变成了产品名录

admin 2026-06-30 06:32:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年6月曝光的fortibleed事件揭露了一起大规模飞塔防火墙数据泄露,黑客santaad通过暴力破解获取了全球194个国家21632家机构的73932台设备凭证并倒卖权限。该黑产团伙使用AI渗透工具与高端显卡集群构建攻击流水线,事件暴露了仅依赖高强度密码的脆弱性,企业需将管理端口从公网剥离、强制启用多因素认证并定期轮换凭证。 综合评分: 82 文章分类: 数据泄露,漏洞预警,安全运营,红队,恶意软件


cover_image

FortiBleed 事件:一名黑客中间人把 73000 台防火墙变成了产品名录

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月25日 08:52 湖北

在小说阅读器读本章

去阅读

2026 年 6 月中旬,研究员沃洛季米尔・“鲍勃”・迪亚琴科发现一台暴露在公网的活跃服务器,里面存放着数万条可正常登录的飞塔防火墙账号密码,这起数据泄露事件被命名为 FortiBleed。本次事件最惊人的数据:涵盖 194 个国家、21632 家机构,总计 73932 台设备的有效远程登录凭证,几乎占到全网所有公网暴露 FortiGate 防火墙总量的一半,这也让此事迅速登上安全新闻头条。这台服务器因配置疏忽对外开放,里面完整留存着黑产团伙正在运营的工具、日志、脚本以及整套账号资产清单。

不过,这份被盗密码清单只是犯罪行为的产物,并非犯罪源头。Mysterium VPN 团队顺藤摸瓜,查到整个黑产活动都来自同一个中间商,此人在俄语地下网络犯罪论坛上的网名为 “SantaAd”。

该账号自 2025 年初便开始打造中间商信誉,发帖记录俨然一份产品清单,目标只有一个:飞塔设备。近几个月来,这名卖家公开拍卖多家美国知名制造企业的远程登录权限,上架了数千条飞塔防火墙管理后台账号,还长期挂出收购广告,专门收购达到营收门槛的美国企业内网访问权限。

MysteriumVPN 发布的报告写道:“整件事件中最关键的证据并非账号密码,而是这份表格。泄露数据按机构逐条标注,包含企业名称、所属行业、年营收与员工人数,并且按照黑市售价划分成不同等级。”

间谍团伙会按照情报价值划分目标,而这名犯罪分子只按照报价分级。营收栏足以证明这是一起以牟利为目的的黑产,最终目的就是倒卖权限 —— 买家大概率是勒索软件团伙,他们正急需已验证可用的高营收企业内网入口。

整个黑产团伙大量使用现成工具搭建流水线。专用暴力破解服务器大规模批量枚举账号密码:从数千组常用账号衍生出超过十亿条账号密码组合,依托轮换代理 IP 同时发起数万次爆破。另有一台破解服务器,搭载开源密码破解工具,由大约 45 块按小时租用的高端显卡集群提供算力。第三台工作站负责人工操作:编写脚本、维护 7 台一次性 Kali Linux 虚拟机,拿到权限后横向渗透受害企业内网。

报告补充道:“定制脚本带有 AI 生成代码的典型特征:表情符号状态提示、整齐的‘第一步 / 第二步 / 第三步’分段格式、大量冗余注释,代码溯源到攻击发起前几天的 AI 代码编辑器会话记录。”

团伙还使用了一套 AI 渗透测试框架:操作人员只需用自然语言描述攻击目标,程序就会自动执行内网渗透。过去只有资深黑客才能完成的操作,如今只要租一台服务器、写一段指令就能实现。

这名中间商的自述很有参考价值。在一条拍卖帖子里,有人询问数据来源,卖家称 “基本来自暴力破解”,并且爆破工具为自主开发。被问及有效账号比例时,他承认仅少量凭证完成有效性核验,核验程序还出现了故障。曾有一整批权限商品紧急下架,原因是 “数据存在错误”。这就是权限倒卖行业的真实样貌:一条漏洞百出、故障频发的流水线,并非一次干净利落的秘密入侵。

“事件曝光登上新闻后,这名中间商并没有销声匿迹。他更新了数千条飞塔设备权限的拍卖链接,抬高起拍价,还拿本次新闻报道当做货源保真凭证。” 把新闻报道直接当成销售担保,这还是头一遭。

本次事件带来的架构层面教训值得重视:企业用来抵御外部入侵的防火墙,反倒成了犯罪分子长驱直入的前门,还被整理成售卖清单。务必将设备管理端口从公网剥离,给 VPN 与管理员账号开启多因素认证。这批被破解的凭证里不乏长度长、复杂度高的密码,足以证明仅靠高强度密码远远不够,还要定期轮换设备配置内保存的所有账号口令。同时要做好预案:你的企业很可能已经登上黑市购物清单,既然能够出现在这批泄露数据中,你的内网访问权限或许早已待价而沽。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《FortiBleed 事件:一名黑客中间人把 73000 台防火墙变成了产品名录》

评论:0   参与:  0