6.8
深览指数
科技TechCrunch·Lorenzo Franceschi-Bicchierai··AI 生成
网络犯罪分子据称入侵了全球各大公司使用的数万台 Fortinet 防火墙
两家网络安全公司的报告揭示,一场代号为 FortiBleed 的持续攻击活动已入侵全球数万台 Fortinet 防火墙和 VPN 设备。此攻击并非利用未知漏洞,而是针对企业未变更出厂密码、使用已被黑客掌握的凭证等基本安全问题。黑客通过扫描暴露设备,利用已知凭证列表入侵,进而窃取数据,并将新凭证反馈至扫描器实现自我增殖。涉及多家巨头企业,包括埃森哲、甲骨文、三星等,主要受害地区为印度、美国、台湾和墨西哥。原文 ↗
核心观点
- ▍当前大规模入侵 Fortinet 防火墙的攻击并非利用高深的零日漏洞,而是基于企业普遍存在的低等级安全违规行为:未能更换设备默认密码或清理已在暗网泄露的旧凭证。
- 01网络安全公司 Hudson Rock 和 SOCRadar 发布报告称,一场名为 FortiBleed 的、正在进行的黑客活动已入侵数万台 Fortinet 防火墙和 VPN。
- 02攻击模式为:黑客先用自动化工具扫描互联网上暴露的 Fortinet 设备,再利用已知的凭证列表(如默认密码或旧泄露数据中的凭证)进行破解。
- 03据 SOCRadar 描述,被入侵的设备被用作“监听站”以收集经过的网络流量和更多凭证,这些新凭证被反馈回扫描器以入侵更多设备,形成“自我增殖”系统。
- 04Hudson Rock 发现超过 73,000 个独特的 Fortinet URL 已被入侵,SOCRadar 的数据则显示被入侵设备总数超过 30,000 台。
- 05报告确认的受害公司包括埃森哲、康卡斯特、富士康、联想、甲骨文、三星、西门子和普华永道等全球知名企业。
- 06受影响最严重的地区是印度、美国、台湾和墨西哥;受害行业包括 IT 服务、建筑材料、电信和政府部门。
- 07Fortinet 公司回应称,此事件是基于旧数据泄露的重新整理以及暴力破解凭证的结果,并非由近期的新漏洞或安全事件引发。
反方 / 局限
- — Fortinet 公司的官方回应暗示,私营安全公司的报告可能夸大了事态的新颖性或严重性,认为数据源自历史上的旧事件组合,而非针对当前系统的全新、同一波攻击。
- — 文章未深入讨论 Fortinet 设备自身安全性的历史缺陷,也未探讨企业在此类“凭证重用”攻击之外,是否还面临其他由 Fortinet 固件漏洞引发的长期风险。
FortiBleedFortinetHudson RockSOCRadarAccentureOracleSamsungBob DiachenkoKevin BeaumontTiffany CurciLorenzo Franceschi-BicchieraiTechCrunch
10 分钟 · 5 卡片 · 10 资料
读原文 →