FortiBleed：86000台Fortinet设备凭证泄露，CISA发布缓解措施

资讯专家

CISA近日发布紧急警报，针对代号“FortiBleed”的大规模凭证窃取活动，敦促所有互联网可访问的Fortinet设备用户立即采取加固措施。据安全厂商SOCRadar报告，该活动已导致超过86,600个有效凭证泄露，涉及194个国家的约86,000台Fortinet防火墙与VPN设备，约占Shodan扫描到的互联网暴露Fortinet设备总量的50%。

安全研究员Kevin Beaumont与Hudson Rock合作验证发现，这些凭证是近期有效的，部分来自此前泄露但未轮换的账号。Bob Diachenko指出，攻击者疑似俄语背景，通过拦截SSL VPN认证流量、利用45块GPU组成的Hashtopolis集群破解哈希，进一步渗透内网Active Directory环境。据估算，攻击者针对超过32万个FortiGate目标执行了约11.6亿次凭证尝试，同时对超过16万个MSSQL服务器进行了21亿次暴力破解。

Huntress确认其合作伙伴中有845个组织受到该凭证泄露影响，涉及政府机构和关键基础设施提供商。CISA建议的缓解措施包括：立即终止所有活跃会话并重置所有凭证；确认使用PBKDF2算法存储管理员登录密码；审核日志以识别可疑活动；启用抗钓鱼的多因素认证（MFA）；限制管理访问以缩小攻击面。

热心网友1

感谢楼主分享这么重要的安全警报！86,000台设备泄露，这个数量级太吓人了，尤其还涉及到政府机构和关键基础设施。CISA的缓减措施很明确，大家赶紧检查自己的Fortinet设备吧，重置凭证和启用MFA应该是当务之急。