文/劉虹君(June Liu)
近日,威脅情報平台 InfoStealers 揭露一起名為「FortiBleed」的大規模憑證外洩事件,指出全球超過7萬台 FortiGate 防火牆及 SSL VPN 設備相關登入憑證疑似遭竊取並外洩,受害者遍布194個國家,影響逾2萬個獨立網域,引起國際資安社群高度關注。數位發展部資通安全署已同步發布資安警訊,通知政府機關、關鍵基礎設施及民間企業進行風險檢查與防護措施強化;資安署表示,目前國內尚未有資安駭侵事件正式通報。
但值得特別留意的是,根據外部研究機構的調查,台灣在這波外洩名單中暴露的設備數量於全球排名第三,僅次於印度與美國。換言之,「尚未傳出重大事故」與「台灣是高曝險地區」這兩件事同時成立——前者是目前的結果,後者才是企業真正該正視的風險底色。
此次事件雖然受到高度關注,但必須先釐清一項重要觀念:目前公開資訊顯示,這並非確認由 Fortinet 產品本身出現新的重大漏洞所導致,而是涉及設備管理憑證遭外洩的風險。換言之,事件核心在於身分驗證資訊的安全管理,而非單純的產品漏洞問題。
根據資安署說明,駭客此次主要透過設備匯出的設定檔進行暴力破解,藉此取得設備帳號與密碼。而根據資安研究人員 Volodymyr Bob Diachenko 更深入的調查,這起攻擊行動的規模遠超出一般認知中的「撞庫」:攻擊者針對逾32萬個 FortiGate 目標發動了約11.6億次憑證嘗試,同時對逾16萬個 Microsoft SQL Server 系統發動21億次暴力破解攻擊;他們攔截 SSL VPN 認證雜湊值,並利用一個由45張 GPU 組成、透過 Hashtopolis 管理的破解叢集進行離線運算,再以取得的合法憑證橫向移動進入企業內部的 Active Directory 環境。這已不是個別帳號被盜用的零星事件,而是一套具備基礎設施、可規模化複製的「身分攻擊產線」。
FortiGate 是目前全球廣泛使用的企業級防火牆產品之一,應用範圍涵蓋政府機關、金融機構、醫療院所、製造業及關鍵基礎設施。由於防火牆通常位於企業網路的重要節點,一旦管理權限遭到濫用,可能影響網路政策設定、遠端存取服務以及整體資訊系統安全。多份分析也指出,這次受害組織中存在一項共同且致命的管理疏漏——相當高比例的 FortiGate 網頁管理介面,本身就直接暴露在公開網際網路上,等於是把入口鑰匙孔留給了任何路過的人。
從資安管理角度來看,此事件再次反映近年來攻擊模式的轉變。
過去企業較關注系統漏洞修補與惡意程式防護;近年則愈來愈多攻擊行動以「身分」為目標。駭客不一定需要突破防火牆或破解系統,只要取得合法帳號與密碼,便可能繞過部分傳統防禦機制,直接進入企業環境。FortiBleed 正是這個趨勢被工業化的縮影:當暴力破解可以靠 GPU 叢集離線完成、當憑證可以被打包成數萬筆資料集販售或外流,「身分」本身就成了最具規模效益的攻擊面。
根據多份國際資安報告顯示,憑證竊取、帳號濫用及身分攻擊已成為勒索軟體與進階持續性威脅(APT)常見的入侵手法之一。尤其遠距工作與雲端服務普及後,VPN、管理平台及身分驗證系統的重要性持續提高,也使其成為攻擊者優先鎖定的目標。
因此,本次事件帶來的啟示不只是更換密碼而已。
對企業而言,更重要的是重新檢視整體身分安全管理機制,包括管理者帳號是否定期輪替、多因子驗證是否全面啟用、管理介面是否限制來源存取,以及是否具備異常登入監控與告警機制。
資安署也明確要求相關單位立即採取以下措施:
* 修改管理者與 VPN 帳號密碼,並重新登入管理者帳號。
* 啟用多因子驗證(MFA)。
* 將設備韌體更新至最新版本。
* 限制管理介面對外網開放。
* 檢查設備登入與操作紀錄。
* 監控異常來源 IP 與可疑活動。
資安署並提醒,相關機關應檢視系統日誌,如查有受駭情形,應依《資通安全管理法》規定辦理通報——這不僅是技術建議,也是法定義務,企業與機關不可輕忽。
除了即時處置外,企業亦應建立定期帳號盤點與權限管理制度,避免因長期未使用帳號、共用帳號或過度授權而增加風險。
值得注意的是,近年國際資安治理已逐漸從單純強調「防護」轉向兼顧「韌性」。原因在於任何組織都難以保證百分之百不會遭受攻擊,因此除了預防措施之外,如何及早發現異常、快速回應事件以及降低營運衝擊,也成為資安管理的重要課題。
此次 FortiBleed 憑證外洩事件再次提醒各界,資訊安全不僅是設備安全,更涉及身分、權限與管理流程的整體治理。隨著攻擊手法持續演進並走向規模化、自動化,企業需要以更全面的角度檢視自身風險,才能在數位化環境中維持穩定且安全的營運能力。
