全球 7.5 万台防火墙“底裤被扒”,45张显卡暴力狂飙背后的黑客流水线
2026/7/12 19:19:12 网站建设 项目流程

最新内容请微信搜索关注阅读

这两天,全球网络安全圈彻底炸开了锅。如果你是 IT 运维、网络管理员,或者公司的首席信息官(CIO),这个星期的睡眠质量恐怕要降到冰点了。

一项被命名为“FortiBleed”的大规模网络犯罪行动被安全研究员彻底曝光。全球知名的网络安全巨头 Fortinet(飞塔)旗下的核心产品——FortiGate 防火墙,遭遇了有史以来最惨烈的“集体沦陷”。

根据最新披露的数据,全球足足有 7.5 万台 FortiGate 防火墙的管理员账号和明文密码,已经被黑客打包挂在黑客地下市场兜售!

防火墙是什么?它是一家企业内网的“防盗门”和“总保安”。如今,这 7.5 万家企业的防盗门钥匙不仅被小偷配好了,还被做成了大礼包公开拍卖。更让人哭笑不得的是,在这份受害者名单里,连安全厂商飞塔“自己家”的域名也赫然在列……

这场波及全球 194 个国家的灾难究竟是怎么发生的?背后的黑客团伙又是如何用“45张顶级显卡”碾压企业安全防线的?今天,我们就用最通俗易懂的语言,为你扒开这场科技大地震的底层内幕。

一、 灾难现场:谁的“裤子”被扒了?

这次事件的起因,源于知名网络安全研究员Volodymyr "Bob" Diachenko在社交平台上的致命爆料。他在追踪地下黑客资产时,意外拦截到了一个极其庞大的核心数据库。

随后,顶级网络安全专家Kevin Beaumont联合情报机构Hudson Rock迅速介入调查,最终证实了这份数据的真实性。而结论让所有人倒吸一口凉气:

📊“FortiBleed” 灾难盘点:

  • 受灾设备总量:约75,000 台活跃在互联网上的 FortiGate 防火墙。

  • 波及范围:全球194 个国家,覆盖率高达目前全网暴露防火墙的50%!也就是说,网上一半的飞塔防火墙,底裤都被看光了。

  • 泄露数据详情:包含73,932 个唯一的防火墙管理后台 URL以及21,632 个受影响的独立域名,里面全部附带了可直接登录的管理员账号与密码。

“死亡名单”上有哪些巨头?

这绝不是一次针对小作坊的随机恶作剧,而是一场无差别的行业绞杀。在被确认泄露的受害者名单里,各行各业的顶级巨头悉数在列:

  • 科技与制造大鳄:三星(Samsung)、富士康(Foxconn)、西门子(Siemens)、联想(Lenovo)、甲骨文(Oracle)。

  • 咨询与金融巨头:普华永道(PwC)、埃森哲(Accenture)。

  • 关键基础设施与通信:雪佛龙(Chevron)、康卡斯特(Comcast)。

  • 最具讽刺意味的受害者Fortinet 飞塔自身

是的,你没有看错。作为一家市值数百亿美元、天天教别人怎么做网络防御的顶级安全公司,飞塔自己内部的部分设备凭证,也被黑客用同样的手段给操纵了。正所谓“医者不自医”,保安公司的保安把自己家的钥匙给丢了。

目前,日本、台湾、越南、伊拉克和土耳其等地的机构已经确认遭遇深度入侵。更糟糕的是,土耳其的一家国防承包商因为防火墙失守,内部的大量高度敏感军事文件已经被黑客打包带走,造成了无法挽回的政治与军事损失。

二、 恐怖的“钞能力”:45张显卡的工业化暴力美学

看到这里,很多懂一点技术的朋友可能会问:“飞塔是不是又出什么惊天动地的‘0day’(未公开的绝密漏洞)了?黑客是用什么高科技魔法进去的?”

答案可能会让你大跌眼镜:黑客这次没有用任何玄乎的漏洞魔法,他们用的是极致的“钞能力”和工业化流水线。

根据迪亚琴科(Diachenko)的深入调查,这次行动幕后黑手是一个技术极高、说俄语的网络犯罪团伙。这个团伙把网络黑客攻击,硬生生做成了“重工业自动化车间”。

什么是“Hashtopolis”密码粉碎机?

黑客的核心武器,是一个由 45 张高性能 GPU(顶级显卡)组成的专用密码破解集群,采用Hashtopolis平台进行集中调度。

大家都知道,显卡(GPU)除了用来打游戏、跑 ChatGPT 之外,它最擅长的就是做大规模的简单重复计算。而在密码学里,这种计算被用来做一件极其粗暴的事——暴力对撞(Brute-Force)

黑客的攻击流程被分成了标准的三步:

第一步:全网搜刮 → 利用历史漏洞或配置泄露,批量打包防火墙的“配置文件”(包含加密密码)
第二步:显卡狂飙 → 将加密的密码哈希值丢进 45张 GPU 集群,每秒进行数亿次对撞还原明文
第三步:自动化登录 → 拿着还原出的明文账号密码,通过脚本全网疯狂登录,建立内网持久控制

为了跑通这个流水线,黑客展现出了令人战栗的耐心和计算量:

  • 他们针对全网的目标,疯狂进行了11.6 亿次 FortiGate 登录尝试

  • 顺便搂草打兔子,对全球 16 万个微软 SQL Server 数据库进行了21 亿次暴力破解

当 45 张顶级显卡同时发出震耳欲聋的轰鸣,那些企业自以为“足够安全”的管理员密码,在绝对的算力面前就像纸糊的一样,被活生生还原成了“123456”一样的明文。

一旦黑客拿到了防火墙的控制权,他们就会立刻“横向移动”,直接进攻企业的Active Directory(域控制器)。这就相当于小偷进了大楼总控室,不仅篡改了所有员工的工牌权限,还给自己办了一张永久有效的“超级VIP卡”。

三、 历史留下的“巨坑”:为什么升级了固件依然中招?

这时候,又有运维兄弟要叫屈了:“不对啊!我们公司每个月都按时给飞塔防火墙升级补丁,为什么我们也在泄露名单里?”

这就是本次“FortiBleed”事件中最让人拍案叫绝、也最让安全人员吐血的“机制巨坑”。

其实,飞塔官方在 2025 年初的时候,就已经意识到老旧的密码加密算法(加盐 SHA-256)不安全了。在面对现代显卡算力时,这种旧算法很容易被离线暴力破解。于是,飞塔在最新版的固件中,引入了更强、更难被显卡攻破的加密算法——PBKDF2

但是,飞塔的工程师在设计这个升级逻辑时,留下了一个极其奇葩的隐性触发条件

飞塔更新的致命盲区:

1. 管理员把系统升级到最新版固件(此时,系统依然用旧算法存储着你的老密码)。

2. 重点来了:升级完后,管理员必须亲自用账号密码登录一次系统。

只有在升级后完成“首次登录”的那个瞬间,系统才会触发新机制,把你的老密码用PBKDF2重新打包加密。

这就造成了一个巨大的信息差。很多企业的运维人员,平时习惯了用自动化工具批量给设备点“升级固件”。升级完后,只要设备没报错、网络没断,运维人员根本不会特意去登录管理后台。

结果就是:防火墙虽然显示是最新版本,但内部的密码哈希依然是多年前的脆弱旧格式。黑客通过各种渠道偷走配置备份文件后,把这些旧格式的哈希值往 45 张显卡里一扔,几分钟就解出了明文密码。然后,黑客顺着你暴露在互联网上的管理界面,大摇大摆地输入密码登了进去。

四、 深度复盘:黑客的“打包商品化”思维

如果我们把视线拉高,从网络犯罪产业链的角度来看,这次的“FortiBleed”事件揭示了一个极其恐怖的趋势:网络攻击已经完全商品化、元数据化。

专家 Kevin Beaumont 发现,黑客手里的这份 7.5 万台设备的名单,格式规整得像是一家上市公司的 ERP 客户大表。表格里不仅有账密,还贴心地帮买家标注了:

  • 这家受害企业的公司名称

  • 企业所属的行业分类(金融、医疗、政府、军事)

  • 企业的年收入规模(方便勒索软件开价)

  • 设备所在的地理位置与 IP 地

在黑客的地下世界里,这群说俄语的团伙扮演的是“初始访问代理人(IAB, Initial Access Broker)”的角色。

他们自己不屑于去一家家偷数据、做勒索,他们利用显卡集群搞定这 7.5 万个“大门钥匙”后,直接把表格分门别类挂在暗网。

  • 想打韩国科技公司的勒索软件团伙,直接买三星、富士康的钥匙;

  • 想搞政治破坏的黑客,直接买土耳其国防承包商的钥匙。

这种分工明确、高度成熟的暗网产业链,让传统企业那种“买台防火墙就万事大吉”的被动防御思维彻底破产。

五、 紧急自救:今晚不加班,明天公司变“肉鸡”

看别人的热闹很过瘾,但如果自家后院着火就不好玩了。鉴于全网有接近 50% 的飞塔防火墙都在黑客的生死簿上,每一位企业 IT 负责人现在必须立刻行动起来,执行以下“生死七步法”

1. 彻底切断公网管理界面(最核心)

永远!不要!把防火墙的管理后台(HTTPS/HTTP 管理端口)直接暴露在公网互联网上!

这是最基础的防御常识。请立刻修改策略,限制管理后台只能通过内部特定 IP、或者必须先挂公司内部 VPN 才能访问。如果黑客在公网上连你的登录框都找不到,他的显卡再厉害也无计可施。

2. 强行触发 PBKDF2 新加密

立刻登录你所有的 FortiGate 设备:

  • 先修改管理员密码(起一个至少 16 位、包含大小写字母、数字和特殊符号的亲妈都不认识的密码)。

  • 确保固件已升至最新版。

  • 修改密码后,退出并重新登录一次,逼迫系统用最新的 PBKDF2 算法对密码进行重构加密。

3. 强制开启多重身份验证(MFA)

别再嫌麻烦了!把手机动态验证码(MFA/双因子认证)全部强制打开。这样一来,就算黑客的显卡宇宙第一,算出了你的明文密码,他在登录时卡在“输入手机验证码”这一步,依然只能干瞪眼。

4. 地毯式彻查设备日志

调出近三个月的所有设备审计日志(Audit Logs),重点排查:

  • 有没有在凌晨 2、3 点出现来自陌生海外 IP 的“成功登录”记录?

  • 系统里有没有被莫名其妙多建了一些具备管理员权限的“影子账号”?

  • 有没有配置导出的操作记录?

5. 审核持久化机制

黑客进来后,往往会修改系统配置(比如留一个隐蔽的 VPN 通道、修改 DNS 服务器、或者放开某个特定端口)。必须对当前防火墙的所有路由和策略进行一次人工核对,把不属于业务需要的“后门条目”全部删掉。

6. 最坏打算:物理更换设备

如果在日志中已经发现了被深度入侵、Active Directory 被动过的痕迹,并且你无法确定黑客是否在固件底层植入了无法清除的 Bootkit,那么请不要心疼预算——立刻考虑对核心边界设备进行物理更换或彻底物理重置。

永远不要低估黑客搞钱的决心

这次FortiBleed 泄露事件给整个科技界上了一堂非常沉重的安全课。

它告诉我们:网络安全从来不是一块写着“绝对安全”的免死金牌,而是一场永无止境的动态拉力赛。企业的防御设施在更新,黑客的武器库也在与时俱进。当黑客愿意为了敲开你的大门而掏出 45 张顶级显卡、不分昼夜地烧着高昂的电费去撞你的密码时,你那设置成“Company2026”的默认密码就成了一个天大的笑话。

规则变了,降维打击时代已经到来。

赶紧把这篇文章转发到你的公司技术群、运维交流群,或者直接抄送给你们的 IT 负责人。今晚加个班把密码改了、后台藏好,保住的不只是公司的核心数据,还有你们全团队今年的年终奖!

揭秘以色列间谍如何控制你的 VPN

以色列情报机构收购 Wiz 后将掌控你的谷歌数据

情报和研究局:美国情报界的大卫

开源情报:十个用于监控网络威胁的网站资源

网络安全威胁情报网站推荐

美国陆军情报与安全司令部

以色列军事情报部队 8200

科学情报中心用于搜索科学论文、专利信息和各种研究的精选资源

超越大型科技公司:国家数据共享的革命性潜力

最大的数据泄露事件:10 亿条被盗记录,且数量不断上升

前沿AI一口气揪出了80%的系统漏洞,为什么反而成了我们最大的危机?

全新 RockYou2024 发布史上最大 100 亿个密码凭证

你的计算机是否属于有史以来最大的僵尸网络的一部分?

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询