文章总结： Fortinet发布紧急安全公告，警告针对Fortigate设备的凭证窃取活动FortiBleed，该活动并非利用新漏洞，而是重复利用先前披露安全事件中的凭证，结合AI加速暴力破解攻击缺乏强密码和MFA保护的设备，影响全球多达8.6万台设备。主要攻击途径包括利用薄弱或重复使用的管理/VPN凭据，渗透后行为涉及未授权配置更改、创建恶意账户及横向移动。Fortinet和CISA建议立即重置所有凭证、强制执行MFA、升级FortiOS版本、审核配置并检查日志。 综合评分： 85 文章分类： 漏洞预警,网络安全,应用安全,安全运营,终端安全

FortiBleed——Fortinet警告：FortiGate设备正遭受凭证窃取攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月22日 19:02 北京

在小说阅读器读本章

去阅读

Fortinet 发布紧急安全公告，警告客户注意针对 FortiGate 设备的持续凭证窃取活动，威胁研究人员将其称为“FortiBleed”。

根据卡尔·温莎分享的公司分析，该活动并非源于新的漏洞，而是利用了先前披露的安全漏洞，再加上密码习惯不良和缺乏多因素身份验证 (MFA)。

据报道， “ FortiBleed ”事件影响了 194 个国家/地区的多达 86,000 台面向互联网的 FortiGate 防火墙和 VPN 设备，使其成为迄今为止 Fortinet 最严重的安全事件之一。

FortiBleed并非零日漏洞。Fortinet的调查显示，攻击者正在重复利用此前记录在案的两起事件（编号分别为FG-IR-26-060和FG-IR-25-647）中的凭证，并结合人工智能加速的暴力破解技术，攻击缺乏强凭证控制的、暴露于互联网的FortiGate设备。

Fortinet 指出，此次活动与近期任何漏洞披露无关，并强调已完成先前公告中补救步骤的客户不会受到影响。

该公司证实，已主动识别出可能受到入侵的系统，并正在直接联系受影响的客户，同时也在与相关政府机构协调。

主要攻击途径涉及面向互联网的 FortiGate 设备上薄弱或重复使用的管理凭据和 VPN 凭据，并且由于缺少 MFA 而加剧。

一旦威胁行为者获得访问权限，观察到的渗透后行为包括未经授权的配置更改、创建恶意账户（标记的示例包括“forticloud”、“fortiuser”、“fortinet-support”和“fortinet-tech-support”等用户名），以及可能横向移动到内部网络，特别是通过 Active Directory 或 LDAP 集成的环境。

CISA发布紧急警告，提醒各组织机构加强对Fortinet设备的保护，此前有报道称发生了大规模凭证泄露事件。

立即采取的补救措施

Fortinet敦促所有FortiGate客户立即采取以下措施：

• 终止所有管理员和 VPN 会话，并立即重置所有 Fortinet VPN 和管理凭据，尤其是在面向互联网的系统上。
• 对所有管理员和 VPN 用户账户强制执行 MFA（多因素身份验证）
• 将 FortiOS 升级到 7.4、7.6 或 8.0 版本，这些版本支持使用 PBKDF2 哈希算法存储管理员凭据；使用以下命令移除旧版密码设置set login-lockout-upon-weaker-encryption
• 对照已知良好的基线审核配置，重点关注未经授权的帐户添加或策略变更。
• 检查日志，查找来自未知 IP 地址的异常管理访问，并监控域控制器日志，查找横向移动或可疑帐户活动的迹象。
• 限制管理访问权限，例如仅允许受信任的主机访问、应用本地策略或完全移除面向互联网的管理功能。

发现未经授权的配置更改、未知的 VPN 用户或意外的密码重置的组织应将他们的设备视为完全被攻破。

Fortinet 建议遵循其发布的事件恢复指南，如果已集成 AD/LDAP，则将这些帐户视为已遭入侵，并监控目录是否存在异常身份验证或新帐户创建。

对于怀疑内部网络遭到入侵的组织，Fortinet 的 FortiGuard 事件响应团队可提供范围界定服务。

该攻击活动依赖于先前泄露的凭证，而不是新的漏洞利用，这凸显了及时完成供应商提供的补救措施以及在所有管理界面上强制执行一致的 MFA 和强密码策略的重要性。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《FortiBleed——Fortinet警告：FortiGate设备正遭受凭证窃取攻击》