
原本被視為大規模 Fortinet 憑證竊取事件的 FortiBleed,如今出現更令人擔憂的發展。根據資安研究機構 SOCRadar 最新調查結果,FortiBleed 已不再只是單純的帳號密碼蒐集行動,而是與知名勒索軟體集團 INC Ransom 與 Lynx 存在明確關聯,甚至可能涉及尚未公開的 Nextcloud 零時差漏洞(Zero-Day) 利用活動。
這項發現意味著,攻擊者竊取 FortiGate 防火牆憑證的真正目的,很可能不是販售帳密,而是將其作為後續勒索攻擊的初始入侵管道(Initial Access),進一步滲透企業內網並部署勒索軟體。
從帳號竊取到勒索攻擊,FortiBleed威脅全面升級
今年 6 月初,資安界首次關注 FortiBleed 時,事件焦點主要集中在大量 Fortinet 防火牆管理介面與 VPN 帳號遭外洩。
當時研究人員發現:
- 涉及全球 194 個國家
- 超過 21,000 個網域受到影響
- 發現近 74,000 個 Fortinet 防火牆相關網址
- 超過 43 萬台 FortiGate 設備成為攻擊目標
- 攻擊者曾對超過 32 萬台 FortiGate 發起 11.6 億次憑證嘗試
然而,隨著調查深入,研究人員逐步發現這並非單純的帳密資料庫外洩事件。
SOCRadar 威脅研究團隊(STRU)在追蹤 FortiBleed 基礎設施時,意外取得部分攻擊伺服器中的內部文件、操作紀錄與管理資料,並在其中發現同一批攻擊者曾登入 INC Ransom 與 Lynx 的勒索談判平台。
更關鍵的是,研究團隊發現部分 FortiBleed 受害企業資料與 INC Ransom 過去公布的受害者名單高度重疊。
這代表攻擊者取得的 FortiGate 存取權限並非被閒置於地下市場,而是直接被用於後續勒索攻擊行動。
「防火牆即入口」成為新型攻擊模式
從攻擊鏈角度來看,FortiBleed 展現出近年勒索軟體集團常見的營運模式:
首先透過竊取 VPN 或防火牆管理憑證取得初始存取權限,接著建立後門帳號、橫向移動至內部系統,蒐集敏感資料,最後部署勒索軟體並進行雙重勒索(Double Extortion)。
研究人員在遭入侵設備中發現名為 「adminin」 的隱藏管理員帳號,顯示部分攻擊者在成功入侵後,已建立持久化存取機制(Persistence),即使企業後續更換密碼,仍可能保有重新進入系統的能力。
截至目前為止,研究團隊仍在約 11,000 台 Fortinet 設備上發現憑證嗅探程式(Credential Sniffer)活動,顯示許多企業至今尚未完全清除入侵痕跡。
Nextcloud 零時差漏洞可能成為第二條入侵路徑
除了 FortiGate 相關攻擊外,SOCRadar 也透露另一項值得高度關注的發現。
研究人員在攻擊者內部文件中發現,該組織可能正在利用一項尚未公開的 Nextcloud 零時差漏洞 擴大存取範圍。
目前技術細節、受影響版本與入侵指標(IOC)尚未公開,SOCRadar 正與相關廠商進行協調揭露程序。
若後續獲得證實,代表攻擊者已不再依賴單一 FortiGate 入侵途徑,而是同步建立多條攻擊鏈,以提升滲透成功率與攻擊規模。
此外,調查人員亦發現大量與 Citrix 環境相關的目標清單,包含約 29,000 個 IP 位址與 37 個網域,顯示企業遠端存取基礎設施已成為威脅行動者的重要攻擊目標。
FortiBleed反映的不只是漏洞問題,而是身分安全危機
從資安防禦角度來看,FortiBleed 最大的警訊並非某個特定漏洞,而是企業對於身分憑證安全(Identity Security)的防護不足。
許多企業仍將防火牆視為網路邊界設備,但在現代攻擊模式中,防火牆管理帳號、VPN 憑證及遠端存取系統本身,早已成為攻擊者鎖定的高價值目標。
當合法帳號遭竊取時,攻擊流量往往具備合法身分特徵,使傳統防火牆、IPS 或簽章式防護機制難以有效辨識。
因此,企業若僅專注於漏洞修補,而忽略帳號安全監控、異常登入分析與權限治理,仍可能成為勒索軟體的下一個受害者。
資安專家觀點
FortiBleed 事件再次證明,現代勒索軟體攻擊已從過去的漏洞利用,逐漸轉向「身分導向攻擊(Identity-Based Attack)」模式。攻擊者的目標不再只是取得系統權限,而是取得合法帳號後,以正常使用者身分在企業環境中長期潛伏與橫向移動。
對於使用 FortiGate、Citrix、VPN Gateway 或其他遠端存取設備的企業而言,建議立即盤點管理員帳號與 VPN 憑證,全面啟用多因素驗證(MFA),限制管理介面僅能由可信任 IP 存取,並檢查是否存在異常帳號(如「adminin」)或可疑登入紀錄。
此外,企業應導入 SIEM、NDR、EDR 與欺敵防禦(Deception Technology)等持續監控機制,提升對憑證濫用、橫向移動及異常行為的可視性。當前資安防禦的重點已不只是阻擋攻擊,而是如何在攻擊者取得合法身分後,仍能及早發現並阻斷其行動。
FortiBleed 的出現,也再次提醒所有企業:防火牆不再只是防禦設備,更可能成為攻擊者進入企業網路的第一道入口。唯有將身分安全、持續監控與威脅偵測納入整體資安治理架構,才能有效降低新世代勒索軟體帶來的風險。











