身為防禦企業網路邊界的第一道防線,防火牆與虛擬私人網路(VPN)閘道器向來是資安團隊最信任的護城河。然而近期爆發的 FortiBleed 事件,各家都在清點與進行處理,根據資安威脅情資大廠 Hudson Rock 發布的最新調查資料,一個講俄語的多路威脅行動群體,在網路上部署了極具規模且完全自動化的憑證攻擊工具,成功掌握了全球超過七萬三千台 Fortinet 設備的有效存取憑證。這起事件不僅牽連高達兩萬多個獨立網域,受災範圍更橫跨一百九十四個國家,包含許多國際知名的科技大廠、金融機構、基礎設施與政府機關。
CyberQ 搜尋該份報告發現,如果看 .tw 部分的台灣網域,就有許多台灣著名的公司、銀行與大專院校、高中學校等等赫然在列,為本次 FortiBleed 曝險範圍中的受害者。
網路邊界的自動化精準打擊
這場被命名為 FortiBleed 的資安風暴,最初是由知名獨立資安研究員 Bob Diachenko 所發現。他在網路上搜群到一個完全暴露在外的駭客營運伺服器,內部儲存了大量已驗證且完全正確的 Fortinet 設備登入憑證,包含明確的使用者名稱、電子郵件以及明文密碼。這群駭客的手段並非傳統的隨機盲目猜測,而是發動了極具針對性的自動化攻勢。
在整個行動鏈中,攻擊者對超過三十二萬台 FortiGate 設備進行了高達十一億六千萬次的認證嘗試,同時也對超過十六萬台 Microsoft SQL Server 執行了近二十一億次的撞庫與暴力破解。透過這種驚人的自動化規模,駭客成功攔截並識別了大量的防護網關雜湊值,進而對這些關鍵設備形成了全面性的精準打擊。這項進展隨後也獲得了 國際主流媒體 的廣泛報導,引發業界關注。
算力武器化與密碼複雜度的迷思
這起事件中讓我們留意到的技術重點,在於駭客群體處理憑證的精細程度與強大算力。威脅行為者並非單純依靠簡單的字典攻擊,而是架設了由四十五張高階圖形處理器(GPU)組成的龐大算力叢集,並透過 Hashtopolis 這款開源的密碼破解管理平台進行協調運作。這使得他們能夠在極短的時間內,暴力破解並還原出原本被認為高度安全的長密碼或複雜密碼。
許多被列在外洩名單中的企業原本以為自身建構了足夠強健的密碼原則,但在這種將算力極致武器化的密碼破解攻勢面前,傳統的純密碼防禦幾乎毫無招架之力。資安專家 Kevin Beaumont 在針對這批外洩資料進行驗證時也明確指出,外洩的帳密資料完全屬實,且絕大多數受害設備在調查當下依舊處於線上執行狀態,這意味著許多組織根本尚未察覺潛在的入侵風險。
台灣名列重災區與供應鏈的連鎖效應
從全球受災的地理分佈來看,這起自動化攻擊行動的地理涵蓋面極廣,而台灣更是被列為受害最嚴重的核心區域之一。在 Hudson Rock 釋出的統計資料中,受影響裝置數量最高的前幾名國家依序為印度、美國、台灣、墨西哥與土耳其。
對於高度仰賴高科技供應鏈與跨國營運的台灣企業而言,這項資安警訊顯得格外沉重。在外洩的名單中,不乏全球知名的電子代工大廠、跨國通訊品牌、社群軟體與影音串流平台,甚至連多個國家的政府服務入口與關鍵民生基礎設施都赫然在列。
當這類邊界防護設備的憑證遭到掌握,駭客便能輕易繞過外部防火牆的過濾機制,直接以合法身分登入企業內部網路,進一步朝向內部的活動目錄(Active Directory)環境進行橫向移動,為後續部署勒索軟體或竊取核心商業機密鋪平道路。
從合規與架構面檢視防禦基本功
面對防禦前線的集體淪陷,CyberQ 建議各家公司可以多留意邊界設備管理上的核心問題。從這次的調查中揭露了一個致命的管理疏忽,那就是高比例的受害組織竟然將 FortiGate 的網頁管理介面直接暴露在網際網路上,這種作法等同於將家門的鑰匙孔直接展示給路過的每一位小偷。在合規架構上,管理介面的嚴格隔離是最基本的防護要求。為了防止類似的悲劇重演,CyberQ 建議維運團隊此時必須展現最高效率的合規應變,立刻強制重設內部所有與 Fortinet VPN 及管理權限相關的帳號密碼,不論其長度與複雜度為何。
同時,CyberQ 也建議必須全面、無例外地強制執行多因素驗證(MFA),確保密碼不再是單一防線,維運團隊應儘速調整網路架構,將所有網頁管理介面移入內部管理網路或透過特定的跳板機存取,絕對禁止外網直接連線。
最後,鑑於威脅行為者可能已經利用這些外洩憑證執行了潛入,資安團隊應深入盤查過去數週的閘道器稽核紀錄,仔細比對異常時間點與來源 IP 的登入行為,以確認是否有潛伏的橫向移動跡象,從根本止住可能正在發生的供應鏈資安危機。
多源日誌的自動化聚合與關鍵特徵工程
CyberQ 資安實作中,威脅獵捕的第一步是建立全面的可視性。由於攻擊者是透過外洩的 Fortinet 憑證登入,自動化腳本必須第一時間將外部邊界日誌與內部身分驗證日誌進行時間軸上的強關聯。 跨設備日誌自動化關聯 資安工程師可以利用 Python(結合 pandas 與 Elasticsearch API)編寫自動化排程腳本,即時抓取 FortiGate 的 WebVPN 或 SSL-VPN 登入成功紀錄,並同步撈取內部網域控制站(Domain Controller)的 Windows Security Event Logs。
此處的稽核重點在於比對 FortiGate 登入成功時間,與內部 Active Directory(AD)中 Event ID 4624(登入成功) 的時間差。如果某個帳號在 VPN 登入後的數秒內,立刻觸發了登入類型為 3(網路登入)或 10(遠端桌面 RDP)的異常內部存取,腳本應自動將該帳號標記為高風險。
除此之外,如果有威脅潛伏,不見得防火牆能抓得出來時,可以善用網路封包分析平台,如 ANMAS 這樣的資安產品去進行惡意封包側錄與 AI 威脅分析,找到可能發生問題的設備和時間點。
