FortiBleed 全球凭据窃取事件：逾7.3万台Fortinet防火墙遭攻陷

一场大规模的凭据窃取行动已攻陷横跨194个国家的超过7.3万个Fortinet防火墙和VPN网关URL，使攻击者得以持续入侵全球一些最大的企业。

根据网络安全公司SOCRadar和Hudson Rock的报告，网络犯罪分子已系统性入侵了数万台Fortinet设备，这些设备被富士康、三星、西门子、联想、甲骨文、普华永道、埃森哲和康卡斯特等公司使用。这场被称为FortiBleed的行动并非利用零日漏洞，而是依靠凭据复用和针对暴露在外的Fortinet管理界面及VPN接口进行密码喷洒攻击。

SOCRadar在6月16日发布的一份报告中表示："攻击者扫描互联网寻找Fortinet设备，针对每一台设备尝试一份已知密码清单，并记录每一次成功登录。一旦设备被攻陷，他们就将其用作侦听点，监控流经的流量，并收集任何流经的额外凭据。"

SOCRadar识别出超过30,791台受感染设备，涉及21,108个独立IP地址和8,316个独立域名，涵盖政府、电信、医疗、教育、金融服务和关键基础设施等领域。Hudson Rock的分析则将这一数字推高至73,932个独立的Fortinet URL，其依据是安全研究员Volodymyr Diachenko首次标记的一个数据集。攻击者针对超过32万个FortiGate目标发起了约11.6亿次基于凭据的尝试，同时针对16万台MSSQL服务器发起了21亿次暴力破解尝试。

该行动的技术复杂程度远不止简单的凭据填充。据Hudson Rock称，一旦进入设备，攻击者会拦截SSL VPN认证哈希，并使用一个通过Hashtopolis管理的专用45-GPU集群进行离线破解。被攻陷的设备随后充当侦听点，从流经的流量中窃取更多凭据，形成一个自我强化的未经授权访问循环。印度和美国占所有已识别凭据失窃的近三分之一，其中电信行业受损最严重，超过5,600台设备受影响，政府机构则涉及111个域名下的591个受感染系统。

一台自我维持的攻击机器

攻击者留下了一台暴露在外的操作服务器，使研究人员得以窥见其基础设施和受害者数据库。SOCRadar表示，技术证据指向讲俄语的威胁行为者，并指出受害者选择"严重偏向于北约成员国的组织"。在恢复的数据中，包含一个疑似国防工业VPN端点的凭据，暗示其动机可能不仅限于金钱收益。

该行动最引人注目的特点恰恰是其缺失的部分：没有任何被利用的Fortinet漏洞。"没有零日漏洞，没有漏洞利用，没有真正的'漏洞泄露'，"Secure.com工程负责人Waseem Ahmed表示。"尽管名称如此，但这并非漏洞，而是早期Fortinet泄露事件中的一批凭据，被重新用于攻击那些从未费心更改密码的组织。"

与此同时，安全公司Defused观察到，三个近期修补的Fortinet FortiSandbox漏洞——CVE-2026-39808、CVE-2026-39813和CVE-2026-25089——正在被积极利用，攻击于6月开始出现在蜜罐上。前两个漏洞评级为严重，已于4月修补；第三个漏洞在Fortinet的6月"补丁星期二"更新中得以解决。Defused指出，针对CVE-2026-25089的漏洞利用程序似乎是使用人工智能创建的，且最初被观测到时并未生效。

投资者影响

FortiBleed行动的规模引发了对该公司产品安全态势和客户信任的质疑，Fortinet股价面临阻力。根据SOCRadar的数据，年营收超过10亿美元的企业组织占受感染设备的20%以上——而这正是推动Fortinet高利润率经常性收入的客户基础。该公司的防火墙和VPN网关是全球部署最广泛的网络安全设备之一，使其成为持续的攻击目标。Hudson Rock已推出一个验证门户，供组织检查其域名是否出现在被泄露的数据集中，SOCRadar则敦促受影响的公司"将你的网络边界视为已被攻陷，并立即采取行动。"

本文仅供信息参考，不构成投资建议。