攻击者利用 FortiGate 设备获取敏感网络信息

HackerNews 编译，转载请注明出处：

攻击者正在利用 FortiGate 设备入侵网络，并窃取包含服务账户凭据和网络详情的配置数据。

SentinelOne 研究人员警告称，攻击者正在利用 FortiGate 设备中的漏洞或弱口令获取对企业网络的初始访问权限。一旦进入内部，他们会提取可能包含服务账户凭据和内部网络结构信息的配置文件。该攻击活动的目标行业似乎包括医疗、政府机构和托管服务提供商。

“2026 年初以来，SentinelOne 的数字取证与事件响应（DFIR）团队已经响应了多起 FortiGate 下一代防火墙（NGFW）设备被攻陷、从而在目标环境中建立立足点的事件。”SentinelOne 表示。“每起事件都在攻击的横向移动阶段被检测并阻止。”

FortiGate 设备通常与 AD 和 LDAP 集成，支持角色映射和对网络警报的快速响应。威胁行为者通过针对 CVE-2025-59718 和 CVE-2025-59719 漏洞滥用此类访问权限，利用单点登录签名验证缺陷获得未授权的管理员访问权限。CVE-2026-24858 允许攻击者通过 FortiCloud 单点登录登录设备。一旦进入内部，他们就可以提取包含服务账户的配置文件，而其他攻击者则无需漏洞，直接利用弱口令入侵。

在 SentinelOne 分析的一起案例中，攻击者创建本地管理员账户、修改防火墙策略，并定期检查访问权限，之后提取包含加密 LDAP 服务账户凭据的配置文件。这些凭据被解密后用于向 Active Directory 进行身份验证，并注册恶意工作站，从而获得更深层次的网络访问权限。

在另一起事件中，攻击者创建管理员账户、部署 Pulseway 和 MeshAgent 远程管理与监控（RMM）工具，并使用 PowerShell 和 DLL 侧加载执行恶意软件。他们在云存储（谷歌云、AWS S3）上存放恶意载荷、创建任务维持持久化，并使用 PsExec 进行横向移动。

攻击者对主域控制器进行备份，获取 NTDS.dit 文件和 SYSTEM 注册表数据，压缩后上传到他们自己的服务器。事件被控制后，未发现账户被进一步滥用。

FortiGate 等下一代防火墙（NGFW）被广泛使用，因为它们将强大的网络安全与 Active Directory 集成等功能结合在一起。这使其成为攻击者的高价值目标，包括国家级间谍组织和以牟利为目的的犯罪分子。近期研究显示，即使是技术水平较低的攻击者现在也能更轻松地利用大语言模型（LLM）等 AI 工具利用这些设备，这些工具可提供网络漫游和提取敏感数据的指导。

机构应通过实施严格的管理控制、保持软件补丁更新、保留足够日志（至少 14–90 天）来保护下一代防火墙。日志应发送至 SIEM 系统，用于检测异常、跟踪未授权账户创建、监控配置访问、发现恶意软件或 C2 流量、保存证据，并实现自动化响应以快速消除威胁。

“机构应当认识到，FortiGate 及其他边界设备通常不允许在设备上安装安全软件，例如终端检测与响应（EDR）工具。保护此类设备的最佳防御方式是实施严格的管理员访问控制，并保持软件补丁更新以防止被利用。” 报告总结道。“此外，这两起调查都因 FortiGate 日志保留不足而受到影响。机构应确保在 FortiGate 等下一代防火墙设备上至少保留 14 天日志，尽可能保留 60–90 天会更好。”

消息来源：securityaffairs.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文