近日，一場針對Fortinet防火墻的大規模攻擊悄然浮出水面。據德國媒體報道，超過1.5萬個Fortinet Fortigate防火墻的配置文件及相關管理員和用戶憑據被泄露，不僅暴露了大量企業用戶的安全漏洞，也為整個網絡安全行業敲響了警鐘。

泄露數據被免費公開

此次泄露的配置文件數據包于本周一被名為“Belsen_Group”的黑客組織在地下論壇免費公開（題圖），據稱是為了打造該黑客組織在論壇用戶心目中的“人設”。泄露的1.6GB壓縮包內含按國家分類的文件夾，每個文件夾下又有以IP地址命名的子文件夾，其中存放著完整的配置文件和記錄管理員及VPN用戶賬戶密碼的txt文檔。

德國新聞媒體Heise Online揭露，大多數FortiNet配置文件（共1603份），被攻擊者在墨西哥竊取，另有679份來自美國，208份來自德國。受影響的設備多位于公司和醫療機構，涉及多達80種不同類型的設備，其中FortiGate Firewall 40F和60F最為常見，還包括WLAN網關以及適用于服務器機架安裝、桌面或清潔柜放置的緊湊型設備。

攻擊手法與漏洞利用

據多名研究人員分析，被盜配置文件的檔案可追溯至2022年10月，攻擊者疑似利用了FortiOS的身份驗證繞過漏洞（CVE-2022–40684）來收集這些文件。安全研究員KevinBeaumont表示，他曾對一個受害組織的設備進行事件響應，確證攻擊是通過CVE-2022–40684實施的，并且他還能驗證轉儲中看到的用戶名和密碼與設備上的詳細信息相匹配。

潛在風險與應對措施

CloudSEK研究人員下載了該檔案，并編制了IP地址列表，供組織檢查其設備是否受影響。他們指出，用戶名和密碼（部分以明文形式）的曝光使攻擊者能夠直接訪問敏感系統。即使企業用戶在2022年Fortigate發布補丁后修補了該CVE，仍需檢查入侵跡象，因為當時這是一個零日漏洞。

防火墻規則可能揭示內部網絡結構，潛在地使攻擊者能夠繞過防御。此外，被入侵的數字證書可能允許未經授權的設備訪問或在安全通信中冒充身份。研究人員建議組織更新所有設備和VPN憑據，審查防火墻規則以查找可利用的弱點并加強訪問控制，撤銷并更換所有暴露的數字證書以恢復安全通信，并最終進行取證調查，以檢查設備是否曾被或仍被入侵。

據推測，Belsen Group可能在泄露前已將其出售給其他攻擊者。“Belsen Group在論壇上看似新面孔，但根據他們泄露的數據，我們非常確定該組織已存在至少3年。他們可能是一個曾在2022年利用零日漏洞的威脅團體的一部分?！?/p>

事件反思與行業警示

此次Fortinet防火墻配置文件的大規模泄露事件，再次凸顯了零日漏洞安全風險的日益嚴峻，以及及時修補和持續監測的重要性。

該事件再次敲響警鐘，企業需要高度重視網絡安全產品自身的安全漏洞風險，即使是最廣泛部署和信賴的安全設備，也可能因未知漏洞而成為攻擊的突破口。近年來包括Crowdstrike、思科、微軟等網絡安全巨頭頻頻爆出安全漏洞，給客戶造成巨大損失。僅Fortinet一家企業今年就發生了兩次大規模數據泄露，9月份黑客曾通過第三方存儲竊取了440GB的Fortinet客戶數據。此外，2021年黑客通過CVE-8-13379漏洞泄露了近50萬個FortinetVPN賬戶憑證。

企業和組織必須保持高度警惕，定期更新和審查安全措施，同時加強員工的安全意識培訓，以應對不斷演變的網絡威脅。此外，此次事件也強調了與安全社區和安全廠商保持緊密合作的必要性，以便在新漏洞出現時迅速響應并采取有效的防御策略。