网络安全研究人员近期发现了一个针对 FortiGate 防火墙设备的新型自动化恶意活动集群。据观测,自2026年1月15日起,威胁行为者开始执行未经授权的配置更改,通过通用账户建立持久性访问权限,并窃取敏感的防火墙配置数据。
此次攻击活动与2025年12月发生的事件相呼应。当时,在 Fortinet 披露了关键漏洞 CVE-2025-59718 和 CVE-2025-59719 后不久,就发生了恶意的单点登录(SSO)滥用事件。安全公司 Arctic Wolf 指出,虽然初始访问方式尚未完全确认,但攻击手法与之前的 SSO 滥用模式高度相似。他们的检测系统已经激活,可以向客户发出可疑活动的警报。然而,Fortinet 目前尚未确认现有的安全补丁是否能够完全防御这波新的攻击。
回顾2025年12月初,Fortinet 曾发布安全公告 FG-IR-25-647,详细说明了两项关键的身份验证绕过漏洞。当设备启用了 FortiCloud SSO 功能时,攻击者可以构造恶意的 SAML 消息来绕过 SSO 登录流程。
在漏洞披露之后,Arctic Wolf 观察到了针对管理员账户的异常 SSO 登录活动,随后便出现了配置数据转储和持久化行为。目前尚不清楚今年1月观察到的攻击是否利用了相同的漏洞,还是利用了已修补漏洞的某种变体。
攻击链分析
Arctic Wolf 的遥测数据显示,这些攻击高度自动化,整个攻击链的多个阶段在几秒钟内就能相继完成。
- 初始访问:恶意的 SSO 登录从特定的托管服务提供商 IP 地址发起。入侵使用的主要账户为
cloud-init@mail.io。
- 数据外泄:成功登录后,攻击者会立即通过防火墙的 GUI 管理界面,将系统配置文件下载至同一个源 IP 地址。
- 持久化:为了维持访问权限,攻击者会创建次级管理员账户。常见被观测到的用户名包括
secadmin、itadmin 和 remoteadmin。
日志记录显示,从登录、到配置导出、再到新账户创建,这些步骤之间的时间差几乎可以忽略不计,这证实了攻击者使用了自动化脚本。
入侵指标(IOC)
企业安全团队应监控以下入侵指标,以发现潜在的威胁活动:
缓解措施
Fortinet 用户应密切关注官方的安全公告,并及时应用所有相关补丁。如果发现与上述 IOC 匹配的活动,应立即重置所有管理凭证——因为被窃取的凭证哈希值可能会被离线破解。
将防火墙的管理接口限制在可信的内部网络,是防御大规模扫描和自动化攻击的最佳实践。作为一种临时的解决方案,可以考虑禁用 FortiCloud SSO 功能:
config system global
set admin-forticloud-sso-login disable
end
企业应立即在环境中搜索上述入侵指标,并仔细审查 FortiGate 的日志记录,以便及时发现潜在的网络安全威胁。
参考来源:
FortiGate Firewalls Hacked in Automated Attacks to Steal Configuration Data
https://cybersecuritynews.com/fortigate-firewalls-hacked/ | 
发表于 15 小时前
|
查看: 0|
回复: 0
