吳明宜資安廠商發現,Fortinet 的 FortiGate 次世代防火牆 (NGFW) 正被威脅行為者濫用作為入侵企業網路的入口,進而竊取服務帳號等機敏憑證。 SentinelOne 指出,攻擊者主要透過利用近期揭露的漏洞,或是以弱憑證存取系統,擷取包含服務帳號憑證與網路拓樸資訊的設定檔,受害對象涵蓋醫療、政府與代管服務業者。
研究人員表示,FortiGate 等網路設備通常能存取其所保護的多個環境,且在許多部署情境下,也會連結到驗證基礎架構,例如 Active Directory(AD) 與 Lightweight Directory Access Protocol(LDAP) 。此類整合可協助設備依據使用者連線屬性與目錄服務資訊,建立以角色為基礎的政策,並在偵測到安全事件時更快速發送告警。
不過,研究人員也指出,這種高度存取通達性一旦遭攻擊者利用,就可能反過來成為入侵跳板。 SentinelOne 提到,攻擊者可透過已知漏洞,例如 CVE-2025-59718 、 CVE-2025-59719 與 CVE-2026-24858,或是利用錯誤配置取得裝置控制權。
在其中一起事件中,研究人員發現攻擊者於 2025 年 11 月入侵 FortiGate 裝置後,建立名為「support」的本機管理員帳號,並新增 4 條防火牆政策,使該帳號得以跨越所有網路區域、進行橫向移動。攻擊者之後仍會定期登入確認存取權限是否仍在,行為模式與初始存取仲介 (IAB) 建立據點並轉售給其他犯罪集團相符。
該活動的下一階段在 2026 年 2 月被偵測到,攻擊者疑似取得含有加密 LDAP 服務帳號憑證的設定檔。 SentinelOne 表示,證據顯示攻擊者以 fortidcagent 服務帳號的明文憑證成功驗證登入 AD,推測攻擊者已解密設定檔並取出服務帳號憑證。隨後攻擊者利用該服務帳號通過驗證,進一步將惡意工作站加入 AD,以擴大在受害環境中的控制範圍,並展開網路掃描;所幸此時入侵行為遭到察覺,後續橫向移動也被阻止。
另一起案例發生於 2026 年 1 月,攻擊者從 FortiGate 防火牆取得存取後,迅速部署遠端存取工具,例如 Pulseway 與 MeshAgent 。此外,攻擊者也透過 PowerShell 從 Amazon Web Services(AWS) 基礎架構下載雲端儲存桶中的 Java 惡意程式。該惡意程式以 DLL 側載方式啟動後,透過通訊埠 443 將 NTDS.dit 檔案與 SYSTEM 登錄區 (Registry Hive) 內容外傳至外部伺服器 (172.67.196[.]232) 。研究人員指出,雖然攻擊者可能嘗試破解密碼,但在憑證外洩到事件處置期間,尚未觀察到後續憑證被用於其他存取行為。
研究人員提醒,NGFW 因具備網路監控能力,許多企業也會將其整合到其他管理功能,例如 AD,導致這類設備成為高價值攻擊目標。無論是以金錢為導向的犯罪集團、勒索軟體操作者,或是企圖進行情蒐與間諜活動的國家級駭客,都可能將其視為優先鎖定的入侵入口。