近日，一个名为 Belsen Group 的新兴黑客组织泄露了有关1.5万台 Fortinet 防火墙设备的配置文件和 VPN 信息。这一事件引起了网络安全界的广泛关注，相关数据于 2025年1月16日 首次被报道。Kevin Beaumont，一位独立的网络安全研究员，在社交媒体平台Mastodon上发布此信息，揭露了这一可怕的泄露事件。

根据 CloudSEK 的调查报告，这次泄露的数据包包含了大规模的敏感信息，涉及到 FortiGate 设备的用户名、密码（其中一些以纯文本形式存在）、设备管理的数字证书及防火墙规则。这些设备主要运行 FortiOS 的 7.0.x 和 7.2.x 版本，使其暴露在更大风险之中。

Belsen Group 在网络犯罪论坛上首次亮相，并通过 Tor 网站共享了这一数据包。尽管该组看起来似乎刚刚成立，但根据泄露的数据分析，专家们认为该组织实际上可能已经存在了几年，可能曾参与过两个重要事件的测试和攻击。CloudSEK 指出，该黑客组织可能在 2022年 利用一个 零日漏洞 对 Fortinet 的设备进行了广泛的攻击。

被利用的漏洞是 CVE-2022-40684，这是一个 FortiOS 版本中的身份验证绕过漏洞，通过特别构造的 HTTP 或 HTTPS 请求，黑客得以实现对管理界面的未授权访问。尽管 Fortinet 于 2022年10月 发布了针对这一漏洞的补丁，但由于泄漏的数据中仍包含大量敏感信息，使其仍然有潜在的安全威胁。

现阶段，一些专家进一步分析了泄露数据的合法性。他们认为，泄露的部分文件内容确实存在真实设备的交叉验证。例如，通过知名安全搜索引擎 Shodan，研究人员能够确认一些暴露的设备，其IP地址和配置匹配。Beaumont 甚至验证了一名受害者的用户名和密码，显示出这一事件的严重性，可能造成的影响不容小觑。

值得注意的是，此次泄漏的数据文件按国家进行组织，每一个文件夹包含设备的 IP地址，以及一个完整的配置文件，命名为 config.conf，其中包含了 VPN 用户信息和其他敏感细节，如用户名、私钥和防火墙规则。这些数据的泄漏不仅使组织面临无授权的访问风险，也可能导致对网络保护体系的重大威胁。

长期以来，FortiGate 设备因其提供坚固的网络安全、 VPN 功能及流量过滤等优势，被广泛应用于政府和商业网络中。此次泄露的事件凸显了对这些关键基础设施进行更严格的保护和实时监控的重要性。

云安全公司 CloudSEK 的研究员表示，Belsen Group 可能在过去几年里从事了多项恶意活动，且第一个数据泄露行为的发生可能与 2022年 相关。所以即使安全人员在2022年及时打了补丁，设备仍可能处于危险之中。

在技术界的重重压力下，Beaumont 表示，他计划发布泄露的 IP地址 列表，以帮助受影响的组织进行逐一排查。他还提醒那些使用 FortiGate 设备的公司，务必检查他们的安全策略，确保详细审查其设备是否受到影响。他进一步指出要确保在持续的漏洞监测和管理中，及时变更本地 SSL VPN 密码和管理员密码等关键信息。

与此同时，Fortinet 最近再次披露了一个新发现的 零日漏洞 CVE-2024-55591，该漏洞影响 FortiOS 版本的 7.0.0 到 7.0.16 和 7.2.0 到 7.2.12。尽管这个新漏洞与 Belsen Group 之前利用的漏洞无关，网络安全专家认为，利用此漏洞的黑客很可能会计划利用这一新发现的漏洞，也使得对此事的补丁变得更加紧迫。

回顾过去，网络攻击的数量和复杂性也越来越高。这次 Belsen Group 泄露 Fortinet 数据的事件，是一次重大的网络安全事故，警示各组织必须不断提升自身防护措施，及时修复安全漏洞，并保持对网络攻击的高度警觉。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课