FortiBleed 攻擊波及逾 7 萬台 Fortinet 裝置 解決方案

2026 年 6 月中旬，一起名為 FortiBleed 的大規模憑證蒐集攻擊行動被揭露，影響全球近 194 個國家、超過 7 萬台 Fortinet FortiGate 防火牆與 VPN 裝置。攻擊者利用先前外洩或弱憑證，自動掃描並入侵網際網路暴露的管理介面，進一步竊取更多憑證並將受控裝置轉為情報蒐集節點。

根據多方資安研究機構分析，此次攻擊已造成台灣至少兩家企業（鴻海與永豐銀行）受影響，全球受害產業涵蓋金融、電信、能源、政府與跨國企業。

FortiBleed 並非單一新零時差漏洞，而是憑證重複利用 + 自動化掃描的組合攻擊：

• 攻擊者掃描網際網路暴露的 FortiGate 管理介面（通常為 80/443 連接埠）。
• 使用先前外洩資料庫中的憑證（包含舊版 SHA-256 雜湊）進行暴力破解或直接登入。
• 成功入侵後，監控裝置通訊並蒐集更多憑證，回傳至攻擊者控制伺服器。
• 受控裝置可能被轉為「監聽站」，持續擴大攻擊範圍。

研究指出，許多裝置即使已升級較新版 FortiOS，但若管理員未重新登入，舊有較弱的密碼雜湊仍會繼續使用，導致攻擊者能輕易破解。

影響範圍

• 全球約 73,932 個 Fortinet 防火牆網址 受影響，涵蓋 21,632 個獨特網域。
• 受害對象包括三星、Oracle、Spotify、Chevron 等大型企業，以及多國政府機構。
• 台灣方面，根據媒體報導，至少鴻海與永豐銀行等企業的 Fortinet 裝置涉及此次事件。

Fortinet 表示，此次攻擊主要利用「過往事件遺留的憑證」，與公司近期發布的安全公告無直接關聯。公司已持續調查並提醒客戶遵循安全最佳實務，包括定期更換密碼。 不過，獨立研究機構（如 Arctic Wolf、Hudson Rock）強調，攻擊者目前仍在活躍利用這些憑證，防禦者應視為「已發生入侵」來處理，而非單純的「潛在風險」。

資安專家與研究機構提出以下立即可採取的行動（優先順序由高到低）：

• 立即更換所有管理與 VPN 憑證
• 強制所有 FortiGate 管理員帳號與 VPN 使用者重設密碼。
• 強制啟用 PBKDF2 密碼雜湊
• 升級至最新版 FortiOS（建議 7.2.11 / 7.4.8 / 7.6.1 或更新版本），並確保所有管理員至少登入一次，讓系統自動將舊有 SHA-256 雜湊轉換為更安全的 PBKDF2。
• 嚴格限制管理介面暴露
• 絕對不要將管理介面直接暴露在網際網路。
• 改用內部網路存取、IP 白名單、或透過 SSL VPN / ZTNA 存取。

啟用多重驗證（MFA）
在所有管理與遠端存取帳號強制啟用 MFA。

監控與調查

• 檢查 FortiGate 日誌是否有異常登入紀錄。
• 使用 Hudson Rock 或 SOCRadar 等免費工具查詢自身網域是否出現在外洩資料中。

修補相關漏洞
同時修補 FortiSandbox、FortiClient EMS 等產品的已知嚴重漏洞（包含多個 CVE-2026 系列高風險漏洞）。

長期建議

• 定期執行憑證輪替政策。
• 導入零信任架構（Zero Trust），減少對傳統 VPN 的依賴。
• 考慮逐步汰換老舊 FortiOS 版本。

FortiBleed 事件再次凸顯「憑證管理」與「管理介面暴露」仍是企業資安的最大弱點。即使 Fortinet 產品本身近期並無新重大零時差漏洞，攻擊者仍能透過舊有憑證輕易取得大量裝置控制權。 企業應視此次事件為警訊，立即執行憑證輪替與介面強化措施，並持續監控 Fortinet 官方 PSIRT 公告。