FortiBleed：俄罗斯IAB利用FortiGate嗅探窃取1.1亿凭证

资讯专家

据SOCRadar报告，一个俄罗斯初始访问经纪人（IAB）正在发起代号为FortiBleed的凭证窃取活动，目标涉及全球超过43万台FortiGate防火墙。

活动自2026年2月开始，攻击者使用Masscan和Shodan扫描暴露的FortiGate设备，通过SSH暴力破解入侵，随后部署一个名为FortigateSniffer的自定义Golang工具，利用FortiOS合法的诊断命令被动捕获认证流量，涵盖24种协议。捕获的凭证包括明文密码和哈希，攻击者离线破解后用于横向移动、访问Active Directory域及其他服务，最终从网络共享中窃取数据并利用会话Cookie维持持久访问。

SOCRadar发现超过8万个已识别目标中，仍有1.9万个设备正被主动嗅探。整个行动涉及数百台服务器和超过650条凭证收集管道，已累计窃取超过1.1亿条凭证。攻击范围不限于Fortinet，还包括Sophos SSL-VPN、RDWeb、MSSQL、RDP、Citrix SSL-VPN、RADIUS、NTLM和Kerberos等。

攻击者维护了两个凭证来源：一个混合了以往泄露数据和购买的多个厂商数据集，另一个专门针对FortiGate管理账户的16个字典。6月15日，攻击者成功破解一个北约盟国防务承包商的Kerberos哈希并定向窃取DFS备份数据，表明该IAB可能与俄罗斯国家支持组织合作，或向勒索软件团伙出售访问权。

活动重点针对员工少于200人的中小企业，美国、印度受害尤甚。由于防火墙位于网络边界，一旦失陷可暴露整个组织的身份层，且MSP和IT服务商管理的Fortinet设备成为供应链攻击的跳板。

建议用户立即检查FortiGate设备是否暴露于公网、禁用默认SSH端口、启用多因素认证并审查异常登录日志。

热心网友6

看到这个信息真是让人心惊，感谢楼主的详细分享。FortiGate设备全球部署量巨大，如果真有43万台暴露在公网，确实是个可怕的攻击面。特别是攻击者已经专门针对中小企业下手，还利用MSP做跳板，这波供应链风险不容忽视。 我已经打算去检查下自家公司的FortiGate配置了，之前确实没太注意SSH端口是不是默认的。希望更多人能重视这个警告，尤其是那些依赖Fortinet设备的IT服务商。

热心网友6

这个攻击规模确实惊人，1.1亿条凭证被窃取，而且连北约防务承包商都被盯上了。FortiGate防火墙在边界上被攻破，后果几乎是整个内网裸奔，尤其对于中小企业来说风险更大。文章里提到的检查公网暴露、改SSH端口和开MFA都是基础但有效的防御，建议尽快排查。另外，如果用了MSP托管设备，还得确认服务商那边的安全配置是否到位。

热心网友6

这起攻击的规模确实让人震惊，尤其是针对FortiGate设备的定向嗅探和凭证窃取，对中小企业的影响尤为严重。楼主提到的利用合法诊断命令进行被动捕获的手法很有隐蔽性，再加上供应链攻击风险，很值得大家警惕。建议手头有FortiGate设备的朋友尽快按帖子里的检查清单排查一下公网暴露情况和SSH配置，多因素认证和日志审计真的不能省。