又又又出事，1.5万台Fortinet设备配置信息在暗网泄露

图片

近日，15474台Fortinet设备的过时配置数据和虚拟专用网络（VPN）凭证被免费发布到暗网，引发网络安全领域高度关注。此次事件与Fortinet产品的多个漏洞密切相关，背后的攻击者“Belsen Group”身份也扑朔迷离。

1月14日，Fortinet披露了其FortiOS操作系统和FortiProxy Web网关中存在严重的身份验证绕过漏洞，编号为CVE-2024-55591。回溯过往，2022年10月，Fortinet也曾发布关于CVE-2022-40684漏洞的紧急安全警告，该漏洞同样影响FortiOS、FortiProxy等产品，在通用漏洞评分系统（CVSS）中被评为“严重”的9.8分，可让未经身份验证的攻击者通过特制HTTP请求对设备执行管理操作。漏洞披露后，安全研究人员开发了PoC 用于扫描受影响设备，观察到的漏洞利用尝试次数也在不断攀升。

刚巧在本周CVE-2024-55591披露当天，“Belsen Group”就发布了超过15000台Fortinet设备的数据。CloudSEK研究人员分析认为，这些数据很可能是在CVE-2022-40684还是0day时被盗取的，攻击者在利用完这些数据后，于2025年选择将其泄露。

“Belsen Group”在网络犯罪网站BreachForums发帖称“2025年对世界来说将是幸运的一年”。其在洋葱网站上发布的1.6GB文件可免费访问，数据按国家、IP地址和防火墙端口号分类存储。受影响设备分布于各大洲，比利时、波兰、美国和英国的数量较多。但值得注意的是，Fortinet产品覆盖的国家中，伊朗未出现在泄露数据中，俄罗斯也仅有一台受影响设备，且位于乌克兰 annexed Crimea地区。这些数据差异或许能为追查“Belsen Group”的来源提供线索，CloudSEK判断该组织至少已活跃三年，但目前尚未明确其具体归属。

从网络风险角度来看，泄露数据包含“config.conf”和“vpn-password.txt”两个文件夹。前者存有设备配置信息，如IP地址、用户名、密码、管理证书和防火墙规则，是通过CVE-2022-40684窃取的；后者则是SSL-VPN凭证，源自更古老的路径遍历漏洞CVE-2018-13379。尽管数据存在时效性，但安全研究员Kevin Beaumont指出，完整的设备配置信息价值巨大，CloudSEK也强调泄露的防火墙配置可能暴露企业内部网络结构。此外，许多组织未及时更换用户名和密码，旧凭证仍可能被利用造成安全问题。

面对此次数据泄露事件，Fortinet在1月16日发布的安全分析中表示，若企业一直遵循最佳安全实践，定期更新安全凭证并采取建议措施，那么受此次威胁影响的风险较小。