FortiGate设备遭攻击者利用入侵网络并窃取服务账户凭证

网络安全研究人员发出警告，攻击者正在滥用FortiGate下一代防火墙（NGFW）设备作为入侵受害者网络的突破点。

据SentinelOne今日发布的报告显示，这种攻击活动利用最近披露的安全漏洞或弱凭证来提取包含服务账户凭证和网络拓扑信息的配置文件。该安全机构表示，这项攻击活动主要针对医疗保健、政府和托管服务提供商等环境。

FortiGate网络设备的特殊访问权限

安全研究人员Alex Delamotte、Stephen Bromfield、Mary Braden Murphy和Amey Patne表示："FortiGate网络设备对其安装保护的环境具有相当大的访问权限。在许多配置中，这包括连接到身份验证基础设施的服务账户，如活动目录（AD）和轻量级目录访问协议（LDAP）。"

"这种设置能够让设备通过获取正在分析的连接属性并与目录信息关联来为特定用户映射角色，这在设置基于角色的策略或提高设备检测到的网络安全警报响应速度时非常有用。"

不过，该网络安全公司指出，这种访问权限可能被通过已知漏洞（如CVE-2025-59718、CVE-2025-59719和CVE-2026-24858）或错误配置入侵FortiGate设备的攻击者所利用。

实际攻击案例分析

在一起事件中，攻击者据说在2025年11月入侵了一台FortiGate设备，创建了一个名为"support"的新本地管理员账户，并利用该账户设置了四个新的防火墙策略，允许该账户无限制地穿越所有区域。

威胁行为者随后定期检查确保设备可访问，这种行为与初始访问代理（IAB）建立立足点并将其出售给其他犯罪行为者以获取金钱利益的做法一致。活动的下一阶段在2026年2月被发现，当时攻击者可能提取了包含加密服务账户LDAP凭证的配置文件。

SentinelOne表示："证据表明攻击者使用fortidcagent服务账户的明文凭证向AD进行身份验证，这表明攻击者解密了配置文件并提取了服务账户凭证。"

攻击者随后利用服务账户对受害者环境进行身份验证，并在AD中注册恶意工作站，从而获得更深层的访问权限。在此步骤之后，网络扫描开始启动，此时入侵被发现，进一步的横向移动被阻止。

在2026年1月下旬调查的另一起案例中，攻击者迅速从防火墙访问转向部署Pulseway和MeshAgent等远程访问工具。此外，威胁行为者通过PowerShell从亚马逊网络服务（AWS）基础设施的云存储桶下载恶意软件。

通过DLL侧载启动的Java恶意软件被用于将NTDS.dit文件和SYSTEM注册表配置单元的内容通过443端口泄露到外部服务器（"172.67.196[.]232"）。

SentinelOne补充说："虽然行为者可能试图从数据中破解密码，但在凭证获取和事件遏制之间的时间内，没有发现此类凭证使用情况。"

"NGFW设备已变得无处不在，因为它们通过将防火墙的安全控制与AD等其他管理功能集成，为组织提供强大的网络监控能力。然而，这些设备对于具有各种动机和技能水平的行为者来说都是高价值目标，从进行间谍活动的国家支持的行为者到勒索软件等经济利益驱动的攻击。"

Q&A

Q1：FortiGate防火墙为什么容易成为攻击目标？

A：FortiGate设备对其保护的环境具有相当大的访问权限，包括连接到活动目录和LDAP等身份验证基础设施的服务账户。这种特殊访问权限一旦被攻击者利用，就能为他们提供深入网络的通道。

Q2：攻击者是如何利用FortiGate设备入侵网络的？

A：攻击者通过已知安全漏洞或弱凭证入侵FortiGate设备，然后提取包含服务账户凭证的配置文件。他们创建管理员账户，设置防火墙策略，解密获取的凭证，最终利用这些凭证在受害者环境中进行身份验证并横向移动。

Q3：这类攻击主要针对哪些行业和组织？

A：根据SentinelOne的报告，这种攻击活动主要针对医疗保健、政府和托管服务提供商等环境。这些组织通常依赖FortiGate设备进行网络安全防护，因此成为攻击者的重点目标。