近期“FortiBleed”事件引爆全球安全警报:据公开信息,约7.4万台Fortinet相关设备的登录凭证疑似发生泄露。攻击者一旦拿到有效账号信息,可能进一步实施横向渗透与权限升级,因此美国网络安全与基础设施安全局(CISA)迅速发布紧急应对建议,要求受影响组织立刻加固配置、重设认证体系,并把更强的口令与登录保护机制落到位。
CISA给出的“5项措施”思路很明确:先把风险面关掉,再用更强的密码存储和认证方式重建信任。首先,建议立即停用所有SSL VPN以及外部管理连接;同时对Fortinet设备上的所有账号进行重置,配合启用强密码策略,避免使用弱口号或复用密码导致进一步失守。
第二步是重点升级“密码如何被保存”。CISA要求确保管理员账号采用PBKDF2雜湊机制来存储口令,并按Fortinet官方指引移除更弱的旧版雜湊值。因为如果口令在设备端以低强度算法保存,泄露后就会更容易被离线暴力破解;PBKDF2本质上通过增加计算成本,提高破解难度。
第三,全面核查防火墙与VPN日志,确认是否出现横向移动迹象,或存在未授权的配置变更,这一步能帮助你判断是否已被入侵、是否已经建立持久化入口。
第四,针对远程访问与管理类账号强制启用抗网钓MFA(多因素认证)。仅靠账号密码已经不够,攻击链往往在凭证层面完成“突破”,所以必须用更强的第二因子来压缩被盗凭证的利用空间。
最后,缩减攻击面:限制管理界面暴露范围,让其只在可信内部网络可达,避免直接对互联网开放,并停用不必要的账号与服务。
CISA此次公告也提醒大家:PBKDF2这类更强的雜湊方案并非新概念,早前在针对电信与关键基础设施防护的相关建议中就被强调过。对企业来说,现在最关键的是把“应急动作”变成“长期治理”,用更强的认证、合理的权限边界和可审计的日志闭环,才能真正把类似风险挡在门外。
