FortiBleed 攻擊事件：全球逾 7.3 萬台 Fortinet 防火牆遭入侵，上演大規模憑證竊取

一場大規模的憑證竊取行動已入侵橫跨 194 個國家的超過 73,000 個 Fortinet 防火牆及 VPN 閘道網址，讓攻擊者得以持續存取全球部分最大型企業的內部網路。

根據網路安全公司 SOCRadar 與 Hudson Rock 的報告，網路犯罪分子已系統性地入侵了數萬台 Fortinet 設備，受害企業包括鴻海、三星、西門子、聯想、甲骨文、PwC、Accenture 及 Comcast。這項名為 FortiBleed 的行動並非利用零時差漏洞，而是針對暴露在外的 Fortinet 管理介面與 VPN 介面，發動憑證重複使用與密碼噴灑攻擊。

SOCRadar 在 6 月 16 日發布的報告中指出：「攻擊者掃描網際網路上可存取的 Fortinet 設備，針對每台設備嘗試一組精心挑選的已知密碼，並記錄每一次成功登入。一旦設備遭到入侵，他們便將其用作監聽據點，監視流經的網路流量，並收集任何流經的額外憑證。」

SOCRadar 辨識出超過 30,791 台遭到入侵的設備，涵蓋 21,108 個獨特 IP 位址及 8,316 個獨特網域，橫跨政府、電信、醫療保健、教育、金融服務及關鍵基礎設施等領域。Hudson Rock 的分析則給出更高的數字，根據安全研究員 Volodymyr Diachenko 首次標記的資料集，指出有 73,932 個獨特的 Fortinet 網址遭到入侵。攻擊者針對超過 32 萬個 FortiGate 目標，發動了約 11.6 億次基於憑證的嘗試，同時還對 16 萬台 MSSQL 伺服器發動了 21 億次暴力破解攻擊。

此行動的技術複雜性遠超單純的憑證填充。根據 Hudson Rock 的說法，攻擊者一旦進入設備，便會攔截 SSL VPN 認證雜湊值，並利用一個透過 Hashtopolis 管理的專用 45 張 GPU 叢集進行離線破解。遭入侵的設備隨後充當監聽據點，從流經的流量中收割更多憑證，形成一個自我強化的未授權存取循環。印度與美國佔了所有已辨識憑證遭竊案例的近三分之一，其中電信業受創最重，超過 5,600 台設備受影響，而政府機構則有 591 個系統受損，橫跨 111 個網域。

一台自我維持的攻擊機器

攻擊者暴露了一台運作中的伺服器，使研究人員得以窺見其基礎設施與受害者資料庫。SOCRadar 表示，技術證據指向俄語系威脅行為者，並指出受害者選擇「嚴重傾向於北約成員國的組織」。在回收的資料中，包含了一個看似屬於國防工業 VPN 端點的憑證，暗示其動機不僅止於單純的經濟利益。

此行動最引人注目之處，在於其缺乏的元素：任何被利用的 Fortinet 漏洞。Secure.com 工程主管 Waseem Ahmed 表示：「沒有零時差漏洞、沒有漏洞利用程式、也沒有真正的『流血』（bleed）。儘管名稱如此，這並非一個漏洞，而是一大堆在先前的 Fortinet 洩漏事件中外流的憑證，被重新用來攻擊那些從未費心更換密碼的組織。」

與此同時，安全公司 Defused 觀察到，對於三個近期才修補的 Fortinet FortiSandbox 漏洞——CVE-2026-39808、CVE-2026-39813 及 CVE-2026-25089——已出現活躍的漏洞利用攻擊，這些攻擊於 6 月開始出現在蜜罐系統上。前兩個漏洞被評為重大等級，並已於 4 月修補；第三個則在 Fortinet 的 6 月 Patch Tuesday 更新中處理。Defused 指出，針對 CVE-2026-25089 的漏洞利用程式似乎是使用 AI 創建的，且最初被觀察到時並無法正常運作。

投資人影響

隨著 FortiBleed 行動的規模引發外界對該公司產品安全態勢及客戶信任度的質疑，Fortinet 股價面臨逆風。根據 SOCRadar 的數據，年營收超過 10 億美元的企業組織佔了受影響設備的 20% 以上——而這正是驅動 Fortinet 高利潤經常性收入的客戶基礎。該公司的防火牆與 VPN 閘道是全球部署最廣泛的網路安全設備之一，使其成為一個持續性的攻擊目標。Hudson Rock 已推出一個驗證入口網站，供組織檢查其網域是否出現在遭入侵的資料集中；SOCRadar 則敦促受影響的公司「將您的網路邊界視為已遭入侵，並立即採取行動。」

本文僅供資訊參考，不構成投資建議。