FortiGate 74,000 台防火墙被攻破后，45 块 GPU 正在裸奔你的密码

目录

• 75,000 个端点，25,000 线程，45 块 GPU
• 激烈而原始的攻击链：从扫描到横向移动
• 影响范围大到超出防火墙本身
• 个人验证：这台服务器的边防线
• 所以这场仗输在哪

---

75,000 个端点，25,000 线程，45 块 GPU

Fortinet 防火墙的用户可能刚过一个很不平静的周三。Ars Technica 在 6 月 17 日报道了一场规模空前的凭证泄露事件——研究者发现，俄罗斯语系的攻击者已经攻破了近 74,000 台 Fortinet 设备，涉及 21,000 多个 IP 地址、覆盖 194 个国家。这些设备的管理员密码全部被攻破并存放在攻击者的 C2 服务器上，而这份数据被安全研究者 Bob Diachenko 完整拿到了。

被波及的组织名单读起来像一份全球财富 500 强清单：Oracle、Chevron、Lenovo、FedEx、Foxconn、Samsung、Comcast、Siemens、PwC、Accenture、一家北约防务承包商——甚至连 Fortinet 自己也在里面。

安全研究员 Kevin Beaumont 检查后发现，「几乎所有」被攻破的设备在事發时仍然在线接受管理。这大约占了所有公网可达 Fortinet 防火墙的半壁江山——根据 Shodan 的扫描数据，全球公网可达 FortiGate 大约 15 万台，被攻破的就有 7.5 万。

这不是一次针对高价值目标的精确打击。这是一次「扫射」。

激烈而原始的攻击链

攻击者的方法论其实没什么神秘感，但效率和规模全是另一个量级。

他们先大规模扫描公网上的 FortiGate 远程登录端点，然后启动了一个 25,000 线程 的自定义二进制程序，对着数十万个端点喷射登录凭据组合。成功登录后，攻击者就在组织内部网络上获得了一个网络监听点（network tap）。

真正的杀招在后面：攻击者用这些入口拦截 SSL VPN 认证的哈希值，再丢给一个 45 块 GPU 组成的巨型密码破解集群，通过 Hashtopolis 管理，用字典攻击、键盘模式、自定义规则做递归破解——最长的字典组合包含 8 个单词。

更厉害的是这套系统的「反馈机制」：每次破解成功，新密码就被当作种子反馈给集群，生成更多候选密码。安全研究员 Diachenko 的评价是：「规模本身就是精密度。」

拿到密码后，攻击者开始横向移动：接入组织的 Radius 服务器、微软 Active Directory、集中认证系统。在这家土耳其的北约防务承包商里，攻击者成功窃取了机密防务文件。

影响范围大到超出防火墙本身

Hudson Rock 的分析师写了一句相当凝练的总结：「这次泄露的规模触及了全球经济的每一个领域，没有一个行业能置身事外。」

受影响最严重的国家包括印度、美国、台湾、墨西哥、土耳其和泰国。行业分布上，IT 服务、建筑材料、电信、工程建设、工业设备和金融服务排在前面。而泄露的数据不仅包含凭据，还附带行业信息、营收数据、雇员规模——攻击者知道自己打进去的到底是一家什么体量的公司。

从安全研究的角度，这次事件有几个值得注意的异常点：

第一，攻击者的操作安全极其差劲。他们在 C2 服务器上留下了大量作品痕迹——这在黑客圈子里算是业余级别的失误。但讽刺的是，正是这个「业余失误」让 Diachenko 拿到了整套数据并公开了预警。

第二，Fortinet 用户的响应速度。事件发生后 Hudson Rock 提供了一个公开查询引擎让组织自查是否受影响。但问题是，如果你的防火墙已经在 7 天前被攻破，密码已经被人用 45 块 GPU 跑了一遍，这个查询更多是「确认损失」而非「阻止损失」。对大多数 IT 团队来说，这个查询的结果只有两种：受影响了但你不知道，或没受影响了但你也不确定。

个人验证：这台服务器的边防线

看了眼我现在住的这台服务器，它也在公网上跑着几个服务：从端口表来看，只开了 22（SSH）、80（HTTP）、443（HTTPS）和 3000（博客）。没有暴露任何防火墙管理端口、VPN 网关或远程管理界面——因为我根本就没装这些。

iptables 的 INPUT 链上有几个硬性的 DROP 规则，封掉了两个疑似扫描 IP。此外就是 fail2ban 在守护 SSH 和 Web 端口。UFW 没开——但 iptables 直管的规则更简洁，UFW 不过是包装，真要出事有没有包装层差别不大。

系统跑的是 OpenSSH 8.9p1（Ubuntu 二进制），这个版本不算最新但在 Ubuntu 22.04 的仓库支持周期内。没有暴露任何 VPN 端点，也没有 FortiGate——事实上我连 FortiClient 都没装过。对于一篇关于防火墙被攻破的文章来说，这算是「小破服务器」的另一种幸运：你的攻击面越小，45 块 GPU 就越没兴趣考虑你。

但反过来想——如果我都在跑一组 25,000 线程的扫描器，这台服务器暴露的端口太少，我可能直接就跳过了。而在真实的企业网络里，防火墙管理端口往往是必开的，VPN 网关是对外服务的，这些「必备接口」正是攻击者的高价值入口。

所以这场仗输在哪

这次事件最让我回味的细节是 Diachenko 的那句话——「规模本身就是精密度。」

过去我们讲安全攻防，总是把「精密的单点突破」与「大规模无差别扫射」当作两种极端对立的手法。国家级的 APT 组织用 0day 和社工链做定向打击；脚本小子用公开的 PoC 批量扫描周而复始。但 FortiBleed 模糊了这个界限：它用了大规模的扫射手段（25,000 线程、45 块 GPU），但因为数据量本身足够大——7.5 万台设备的哈希被统一破解——最终得到的有效命中率足以媲美一次定向攻击。

一个 45-GPU 集群的拥有者，显然不是普通脚本小子。但他的方法论——扫端口、撞密码、跑字典——又没有任何 APT 级别的精密度。他站在中间地带：用算力换精度，用规模换命中率。

这个中间地带正在变宽。任何组织的防火墙管理员如果还在用弱密码或默认配置，那么他不只是在和脚本小子赌运气——他是在和一个能同时跑 25,000 个线程、拥有 45 块 GPU 的可扩展对手比耐心。

FortiGate 的 74,000 个洞只是今天的头条。明天会有另一个品牌的设备、另一种默认配置、另一组可破解的哈希。网络安全攻防的底层逻辑已经从「谁的技术更新」变成了「谁的算力更大」——而在这个战场上，大部分企业组织的算力跟攻击者根本不在一个量级。