2026 年 6 月 17 日,一份憑證資料集公開了,它本不該讓任何人感到意外,卻讓所有 人警鈴大作。研究員 Volodymyr「Bob」Diachenko 發現了一台暴露於網際網路的伺服 器,裡頭存放著數萬台 Fortinet FortiGate 防火牆的使用者名稱、電子郵件地址以及 明文密碼。Kevin Beaumont 取得了這份資料集,與 Hudson Rock 一同進行了分析,並 證實了那個沒有人想被證實的部分:這些憑證是有效的。這場行動被命名為 FortiBleed。
數字本身就是故事。73,932 個橫跨 194 個國家的獨特 FortiGate URL,繫連著 21,632 個網域,根據 Shodan 的探測,這大約是目前面向公開網際網路的所有 Fortinet 防火牆 的一半。受波及的組織絕非業餘之輩:Foxconn、Samsung、Comcast、Siemens、Lenovo、 FedEx、Accenture、Oracle、PwC,外加政府機關與關鍵基礎設施營運商。至少有四個組 織遭到全面入侵,分布在日本、台灣、越南、伊拉克與土耳其,攻擊者在網路內部一台機 器一台機器地橫向移動。最嚴重的案例,是一家土耳其的 NATO 國防分包商,其機密文件 遭到外洩。這項活動被歸因於一個操作者眾多的俄語系犯罪集團。
諷刺意味不言自明。防火牆,那台整個存在目的就是把入侵者攔在邊界上的唯一設備,竟 成了這道邊界敞開的大門。
技術上究竟發生了什麼
這裡沒有新漏洞,而這一點至關重要。這場憑證收割可追溯至 CVE-2022-40684,也就是 Fortinet 在 2022 年 10 月修補的 FortiOS 身分驗證繞過漏洞,它在多數組織套用修補 程式之前就已遭到大規模利用。在 2022 年那波攻擊中被刮取的憑證,自此便在私密的犯 罪論壇間流通。FortiBleed 就是這批庫存的翻新版:操作者攔截了 SSL-VPN 的身分驗 證,還原了密碼雜湊值,並在一個由 Hashtopolis 統籌的 45-GPU 叢集上將其破解。接 著他們把還原出來的密碼重放到線上設備上,對 320,000 台 FortiGate 設備記錄了 11.6 億次登入嘗試,並同時對 160,000 台 Microsoft SQL 伺服器發動了另外 21 億次,再把 其中有效的那些一路推進到 Active Directory,也就是管轄組織內每一個 Windows 帳號 的目錄。
Fortinet 的回應在技術上完全正確,在策略上卻完全沒搔到癢處。該公司把 FortiBleed 定性為過往事件的回收資料加上暴力破解,而非其產品中的新瑕疵。這沒錯。但那些設備 依然在線,而一個被回收的密碼能打開一道真實的門,能打開多久,就看沒有人去更改它 多久。在一個龐大的部署環境裡,輪替每一組 VPN 與管理員憑證並非彈指之間的事,而這 正是攻擊者賭它仍然有效的全部理由。他們賭對了。
哪些法規框架管轄此事,以及它們的要求
這不是一條冷僻的技術註腳;它正正落在受波及組織早已必須回應的三套體制之中。
歐盟《數位營運韌性法》(DORA)約束金融實體。其 ICT 風險管理支柱(第 5 至 15 條)要求在遠端進入點上實施強身分驗證與存取控制(第 9 條),以及一套經過測試、具 備證據的事件應變能力(第 11 條)。DORA 不接受「我們修補了 2022 年的 CVE」作為韌 性的證明;它要問的是,殘餘的暴露面是否已被辨識、量化與治理。《網路與資訊安全指 令 2》(NIS2)涵蓋的對象廣泛得多,包括能源、運輸、製造、數位基礎設施與公共行 政,其第 21 條明確點名多因素驗證、存取控制與資產管理為基準措施,而管理機構則依 第 20 條負有個人責任。ISO/IEC 27001:2022 把同樣的控制措施框定為附錄 A 的義務: A.5.17(身分驗證資訊)、A.8.5(安全身分驗證)、A.5.15(存取控制)與 A.8.9(組態 管理)。對那家 NATO 國防分包商而言,還有第四層適用:國防供應鏈安全義務,在此義 務之下,機密材料的外洩是一起須通報的、主權層級的事件,而不僅僅是一樁商業外洩。
哪些控制措施失靈了
剝去那駭人的規模,FortiBleed 不過是一份留在「關」位置上的開關清單。遠端存取的多 因素驗證付之闕如或不完整,而它是唯一能讓被竊密碼失去效力的控制措施,是那道把 「非事件」與「外洩」區隔開來的存在。憑證輪替在 2022 年遭到入侵後從未觸發,因此四 年前外洩的密碼到了 2026 年 6 月依然能通過驗證。修補與組態的衛生管理落後於原始 CVE-2022-40684 的時間窗口,落後到足以讓收割得逞。VPN 邊緣與 Active Directory 核 心之間的網路分段稀薄或缺席,把一台被入侵的設備變成了橫跨整個網域的橫向移動。而 貫穿這一切底層的,是資產可視性的失靈:各組織並沒有一份具權威性、即時的清單,指 明它們哪些 FortiGate 設備面向網際網路、執行著哪一版韌體、配有哪些帳號、處於何種 身分驗證態勢。你無法在一個看不見的暴露面上去輪替、分段或強制施行 MFA。
CCI 的工具本可以改變什麼
上述四項控制措施沒有一項需要一個全新的產品類別。它們需要的,是這道暴露面能被持 續地看見、定價與證明,而這恰恰是 CCI 的工具所填補的缺口。
EviGen 本可以在攻擊者開口之前,就回答那個唯一要緊的問題:MFA 是否就在此刻,於每 一台設備、每一個 SSL-VPN 與管理員帳號上強制施行?EviGen 會自動橫跨整個部署環境 蒐集這份組態證據,並以框架感知的方式,把它封裝為 DORA 第 9 條、NIS2 第 21 條與 ISO A.8.5 所要求的成品,且是持續產出,而非在恐慌中臨時拼湊。MFA 覆蓋率上的一道 缺口,會在它開啟的那一週就成為一份附有日期、經過簽署的發現,而不是在外洩之後才 被鑑識挖出。
NetDiagramer 本可以把攻擊者實際走過的路徑畫出來。它從即時盤點出發,繪製防火牆區 域與跨層相依關係,讓每一台面向網際網路的 FortiGate 浮現,並且,至關重要地,呈現 出從 SSL-VPN 邊緣通往 Active Directory 核心的路線。讓四個組織得以被全面攻陷的那 種扁平的邊緣對網域鄰接關係,正是一份依 DORA 第 8 條與 NIS2 第 21 條自動產出的拓 撲圖會作為一項發現去揭露的東西,而不是一張事後驗屍的圖解。
cVaR 本可以把「老憑證,大概沒事吧」轉化成一個董事會級別的數字。它在資產盤點之上 套用 FAIR 與蒙地卡羅(Monte-Carlo)模擬,把「一個面向網際網路的 VPN 憑證被重放 並跳板至 AD」這個情境,定價為一條以歐元計的損失超越曲線。一個在風險登錄冊裡讀來 只像一團模糊憂慮的殘餘暴露面,在 cVaR 儀表板上讀來則是一筆條件風險值;而殘餘的 歐元會被拿去輪替,殘餘的憂慮卻會被擱置。
DORA-MAST 本可以讓它成為一個受測過的情境,而非一場意外。它把那項擾動,也就是遠 端存取邊界上的憑證重用,拿去對模型推演,計算其韌性衝擊,並依 DORA 第 24 至 31 條 的測試方案為這項測試提供證據,包括把整道邊界全押在單一設備供應商身上所帶來的第 三方集中度風險。
預測暴露面,為它定價,證明控制措施,演練那場失靈。2022 年那道傷口是可知的。外洩 的憑證是可知的。那道 MFA 缺口是可知的。FortiBleed 並沒有利用 Fortinet 程式碼中 的漏洞。它利用的,是一個組織所擁有的控制措施,與一個組織能證明已開啟的控制措施 之間的那段距離。把這段距離弭平,被回收的密碼就什麼也打不開。
如果你的網域已經在名單上:迅速取得協助
上述工具描繪的是一個組織在事件發生「之前」就建立起來的態勢。對許多在 21,632 個 暴露網域之列的組織而言,FortiBleed 並非未來的風險,而是當下的風險,而誠實的問題 是這一週該做些什麼。CCI 有兩項截然不同的能力可派上用場,值得把各自負責什麼說清 楚。
第一項,是壓力之下的領導力。CCI 的 資安長即服務仰賴一支由八位以上 CISSP 認證實務專家組成的人才庫,他們的背景刻意互不重疊,橫跨銀行、國防、電信與 能源。對一個剛剛發現自己的憑證落在 FortiBleed 資料集裡的組織而言,相關的模式是 臨時或待命式的接手:一位當責的資安領導者,能在內部團隊執行輪替的同時,分流處理 這道暴露面、向董事會簡報,並回答監理機關依第 11 條(DORA)或第 23 條(NIS2)提出 的提問。我們不在自己領導的地方稽核,因此這份獨立性是經由設計而保全的。
第二項,是工程的速度。打造出 EviGen、NetDiagramer、cVaR 與 DORA-MAST 的那群人, 並不是一家獨立的供應商;他們是一支由學者、博士級研究員與資安工程師組成的內部研 發團隊。這在營運層面很要緊,因為 FortiBleed 的修補在規模化之下,本質上是一個工 具化的問題:把一個組織的完整 FortiGate 部署比對已公布的暴露網域名單、在數百台設 備上強制執行憑證輪替,然後證明每一個尚存帳號都強制施行了多因素驗證。這正是那群 同一批工程師能夠快速搭建起來的客製化補救工具,因為其底層的基本元件,包括盤點匯 入、組態證據蒐集與拓撲繪製,早已作為已交付的產品而存在,而不是投影片上的空談。 誠實的說法是一種能力,而非一只合約上的碼錶:那支把這些基本元件產品化的團隊,能 把它們組合成一個有針對性的補救工具,遠比一支初次面對此問題的團隊快得多。如果 FortiBleed 已經觸及你的部署環境,通往有範圍界定之回應的最快路徑,就是 與一位實務專家談談。
那道從未癒合的傷口
胡蜂不會改變;蜂群會。Fortinet 的客戶在 2022 年遺失的那些憑證,永遠不會自行過 期,因為密碼不會自癒。對那仍然暴露的半數部署而言,改變的是什麼,答案是:什麼都 沒變,同樣的設備、同樣的密碼、同樣通往網域的扁平路徑。這個修補方案毫不光鮮,卻 完全觸手可及。強制施行 MFA、現在就輪替、把邊緣與核心分段,並持續保有證據,證明 這三件事都為真。攻擊者賭的是,你會讀完這篇、點點頭,然後把它延到下一季。他們有一 份長達四年的紀錄,證明他們在這一點上一向說對了。
Acronyms
| 縮寫 | 全稱(英文) | 中文翻譯 |
|---|---|---|
| AD | Active Directory | Active Directory(活動目錄) |
| CVE | Common Vulnerabilities and Exposures | 通用漏洞揭露 |
| CVSS | Common Vulnerability Scoring System | 通用漏洞評分系統 |
| DORA | Digital Operational Resilience Act | 數位營運韌性法 |
| FAIR | Factor Analysis of Information Risk | 資訊風險因子分析 |
| GPU | Graphics Processing Unit | 圖形處理器 |
| ICT | Information and Communication Technology | 資訊與通訊技術 |
| MFA | Multi-Factor Authentication | 多因素驗證 |
| NIS2 | Network and Information Security Directive 2 | 網路與資訊安全指令 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | 安全通訊端層虛擬私人網路 |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj