• 發布單位:TWCERT/CC
• 更新日期:2026-06-30
• 點閱次數:143

威脅情報平台 InfoStealers 近日揭露名為「FortiBleed」的大規模憑證外洩事件，全球約7.5萬台 FortiGate防火牆與 VPN 閘道設備的登入憑證可能已遭竊取。資安研究人員估計，受影響設備約占全球對外暴露 Fortinet 設備的一半，涉及範圍涵蓋跨國企業、政府機構及關鍵基礎設施等組織。

報告指出，此波名為「FortiBleed」的憑證竊取活動，疑似由與俄語系網路犯罪集團有關。研究人員分析，攻擊者曾針對逾32萬台 FortiGate設備發動約11.6億次登入憑證嘗試，並對超過16萬台Microsoft SQL Server (MSSQL) 伺服器進行約21億次暴力破解。顯示其具備大規模掃描、憑證驗證及自動化攻擊能力。

除嘗試使用過往外洩或未定期更換的帳號密碼，該集團還主動攔截 SSL VPN 驗證雜湊值，並透過由45個GPU組成、使用Hashtopolis管理的大型叢集進行離線破解。成功取得有效憑證後，攻擊者可能進一步橫向移動至內部 Active Directory 環境，藉此建立並維持長期存取權限。惟目前公開資訊尚未完整說明相關設備設定檔及驗證雜湊值的最初取得途徑，因此實際受影響原因可能包含歷史事件外洩資料遭重新利用、弱密碼遭破解、管理介面暴露於網際網路，以及設備設定檔遭未授權取得等多種情況。

研究人員認為，此次事件的影響可能與舊版憑證雜湊機制有關。儘管Fortinet 早在2025年初便將管理員憑證雜湊演算法從 SHA-256 升級為更安全的 PBKDF2，但更新後須重新登入才能生效，導致許多設備仍採用較脆弱的舊版格式儲存憑證。一旦設定檔外洩，攻擊者即可離線進行暴力破解，大幅提高憑證遭破解的風險。

針對此波攻擊，Fortinet表示，目前未發現事件涉及新的 FortiOS 弱點，相關資料可能包含過往資安事件取得的憑證，以及透過暴力破解方式取得的帳號密碼。未定期更換憑證、使用弱密碼，或未啟用多因子驗證（MFA）的設備，可能面臨較高風險。Fortinet 已持續調查相關情形，並主動聯繫可能受影響的客戶提供協助。

為降低憑證遭濫用及設備遭未授權存取的風險，確保企業與組織的網路安全，建議企業管理團隊採取以下應變措施：

1. 終止連線並重設密碼：中斷所有進行中的管理員工作階段，全面重設 Fortinet VPN 與管理員帳號的密碼，並強制落實高強度的密碼政策。
2. 全面啟用多因子驗證（MFA）：務必為所有管理員帳號及 VPN 使用者帳號啟用 MFA，以有效防範憑證外洩風險。
3. 升級 FortiOS 並確認密碼雜湊格式：將設備升級至支援 PBKDF2 演算法的最新版本。同時，應依官方建議移除舊版加密設定。
4. 檢視設備帳號與設定內容：檢查防火牆、VPN 使用者名單及其他設定是否遭未經授權的竄改，並盡可能與已知安全的設定檔進行比對。需特別留意系統中是否暗藏不明帳號，例如「forticloud」、「fortiuser」、「fortinet-support」或「fortinet-tech-support」等。
5. 檢視登入與系統活動紀錄：檢視管理員登入紀錄，確認是否有來自未知 IP 位址的意外存取行為；同步查閱網域控制器日誌，積極防堵橫向移動、異常存取、可疑帳號活動及未經授權的設定變更。
6. 限制管理介面的公開存取：盡速確認設備管理介面是否暴露於網際網路，建議將管理介面從公開網際網路移除，僅允許受信任的 IP 或透過跳板機/ VPN 方式存取。
7. 調查可能的後續入侵活動：如發現異常登入、未知帳號或設定遭竄改，應立即啟動事件調查，確認是否涉及內部系統、帳號或資料遭未授權存取。