数秒破防！FortiGate自动化攻击席卷全球，配置泄露背后的智能攻防暗战与防御重构

2026年1月中旬以来，全球范围内爆发针对FortiGate防火墙的规模化自动化攻击事件，攻击者利用FortiCloud SSO身份验证绕过漏洞（CVE-2025-59718/CVE-2025-59719），通过构造恶意SAML消息实现无授权登录，数秒内即可完成配置数据窃取、后门账户创建、VPN权限篡改等一系列恶意操作。此次攻击并非孤立事件，而是2025年12月同类攻击手法的升级迭代，其全程自动化、传播速度快、影响范围广的特征，不仅暴露了企业网络设备身份认证体系的核心漏洞，更折射出2026年AI驱动下网络攻击向“自主化、精准化、规模化”演进的新趋势。作为企业网络安全的核心屏障，防火墙设备遭针对性自动化攻击，为全球企业的网络安全防护敲响警钟，倒逼企业重新审视网络设备安全配置与智能防御体系的构建逻辑。

一、攻击全景：自动化攻击链的数秒破防全过程

此次针对FortiGate防火墙的自动化攻击，由网络安全公司Arctic Wolf率先监测并披露，攻击从发起至完成仅需数秒，整个攻击链高度标准化、自动化，无任何人工干预痕迹，展现出攻击者成熟的工具链开发能力与精准的漏洞利用能力，其攻击目标明确指向启用FortiCloud SSO功能的FortiGate设备，覆盖FortiOS、FortiWeb、FortiProxy等多款Fortinet核心产品，全球各行业企业均面临被攻击风险。

（一）核心漏洞：SAML消息校验缺失引发的身份认证崩塌

此次攻击利用的CVE-2025-59718/CVE-2025-59719双漏洞，本质是FortiCloud SSO功能的安全设计缺陷——设备未对SAML身份验证消息进行严格的有效性校验与签名验证，导致攻击者可随意构造恶意SAML消息，绕过正规的SSO身份认证流程，直接获取设备super_admin最高权限。这一漏洞的存在，使得FortiCloud SSO从“便捷的身份认证方式”沦为“攻击者的破防入口”，而该功能在企业中的广泛部署，进一步放大了漏洞的影响范围，为自动化批量攻击提供了基础。

（二）自动化攻击链：无人工干预的数秒恶意操作闭环

攻击者通过开发专用自动化脚本工具，实现了“扫描探测-漏洞利用-权限获取-恶意操作-痕迹留存”的全流程攻击闭环，整个过程无需人工参与，单台设备的攻击耗时不超过10秒，具体攻击流程可分为四步：

1. 批量扫描定位：攻击者通过自动化工具对全网暴露的FortiGate设备进行扫描，快速识别启用FortiCloud SSO功能的目标设备，完成攻击目标精准定位；
2. 恶意SSO登录：利用cloud-init@mail.io等固定恶意账户，向目标设备发送构造的恶意SAML消息，绕过身份认证实现无授权登录，直接获取最高管理员权限；
3. 核心恶意操作：登录成功后，脚本立即执行三项核心操作——通过GUI界面导出防火墙完整配置文件、创建secadmin、itadmin、support等多个后门账户、为后门账户配置VPN远程访问权限，实现“数据窃取+持久化控制”双重目标；
4. 留存攻击入口：攻击完成后，脚本不会进行日志清理等操作，但其留下的后门账户与VPN权限，成为攻击者后续横向渗透、二次攻击的长期入口，而攻击者使用的源IP多来自各类托管提供商，增加了溯源与阻断难度。

（三）攻击特征：可快速识别的异常行为与关键线索

此次自动化攻击具有明显的特征标识，企业可通过这些特征快速排查自身设备是否遭攻击：一是登录账户异常，攻击者固定使用cloud-init@mail.io等恶意账户发起SSO登录，设备日志中会出现该账户的登录记录；二是操作行为异常，日志中会显示“System config file has been downloaded by user cloud-init@mail.io via GUI”的配置文件导出记录，且登录、导出、账户创建等操作在数秒内连续发生；三是源IP相对固定，攻击者主要使用104.28.244.115、104.28.212.114、217.119.139.50等托管提供商IP发起攻击；四是账户创建异常，设备中会出现secadmin、itadmin等非企业自建的可疑账户，且此类账户被赋予过高的操作与访问权限。

（四）核心危害：配置泄露引发的全网络安全连锁反应

防火墙配置文件是企业网络的“核心蓝图”，其中包含网络拓扑、防火墙策略、路由配置、账户哈希凭据、端口开放信息等敏感数据，一旦泄露，将引发企业全网络的安全连锁反应，其危害远超设备本身被控制：

1. 内网架构彻底暴露：攻击者通过配置文件掌握企业完整网络拓扑，可精准定位核心服务器、数据库、业务系统等关键资产，为后续横向渗透、定向攻击提供精准指引；
2. 账户凭据面临破解风险：配置文件中的管理员账户哈希凭据可被攻击者进行离线暴力破解，一旦破解成功，攻击者可直接控制企业其他关联设备与系统，扩大攻击面；
3. 持久化控制难以清除：攻击者创建的后门账户与配置的VPN权限，若未被及时发现，将成为企业网络中的“隐形入口”，攻击者可随时发起远程攻击，且此类后门账户往往被隐藏在正常账户中，清除难度极大；
4. 业务运行面临直接威胁：攻击者可通过修改防火墙策略、关闭防护功能、开放高危端口等方式，直接破坏企业业务系统的正常运行，甚至植入勒索软件、挖矿程序等恶意程序，造成企业经济损失与数据泄露。

值得注意的是，此次攻击还出现了一个关键问题——有用户在Reddit等平台反馈，即使将FortiOS升级至7.4.10版本，仍能检测到恶意SSO登录行为，Fortinet开发团队已确认该版本中漏洞仍未得到完全修复，这意味着部分企业的临时补丁修复措施失效，面临持续的攻击风险。

二、攻击溯源：2026年网络攻击的智能化演进新趋势

此次FortiGate自动化攻击并非偶然，而是网络攻击技术在AI驱动下向智能化、自主化演进的必然结果。2026年，生成式AI、自主智能体（Autonomous AI Agent）等技术在网络攻击领域的规模化应用，使得网络攻击从“人工主导”转向“机器主导”，攻击效率、精准度、规模化程度实现质的飞跃，而此次FortiGate攻击正是这一趋势的典型体现，其背后折射出2026年网络安全领域的三大核心变化。

（一）AI驱动攻击工具链成熟，自动化攻击进入“量产时代”

此次攻击中，攻击者使用的自动化脚本工具，是AI技术在漏洞利用、攻击链开发领域的直接应用。2026年，基于大语言模型与代码预训练模型的AI攻击工具已实现规模化落地，可在24小时内完成对大型软件代码库的全量扫描，精准识别传统人工审计难以发现的逻辑漏洞、配置缺陷，甚至能针对特定设备与系统定制化生成漏洞利用方案。此次针对FortiGate双漏洞的自动化攻击链，正是AI工具快速挖掘漏洞、开发利用脚本的产物，而这类工具的普及，使得自动化攻击不再是少数高级黑客的“专属能力”，而是成为地下黑产的“通用工具”，攻击的量产化导致企业面临的攻击频次呈指数级增长。

（二）攻击目标精准化，核心网络设备成为“首要突破口”

防火墙、路由器、交换机等网络设备是企业网络的“咽喉要道”，一旦被控制，整个企业网络将处于不设防状态。2026年，攻击者的攻击目标逐渐从终端、服务器转向核心网络设备，原因在于此类设备往往被企业赋予“高信任度”，安全配置更新不及时、权限管控相对宽松，且设备漏洞的利用价值更高，可实现“一击破全网”。此次FortiGate攻击的精准定位，正是攻击者对企业网络安全架构的深度理解，而核心网络设备的安全防护短板，成为企业网络安全体系的“阿喀琉斯之踵”。

（三）攻防节奏严重失衡，企业应急响应时间窗口被大幅压缩

传统网络攻击中，企业拥有数小时甚至数天的应急响应时间，而在AI驱动的自动化攻击下，这一时间窗口被压缩至数秒甚至毫秒级。此次FortiGate攻击数秒内即可完成全流程恶意操作，企业即使部署了安全监控系统，也难以在如此短的时间内发现并阻断攻击。2026年，随着自主智能体在攻击领域的应用，攻击者的AI工具可根据企业防御态势动态调整攻击路径，当检测到企业启动应急响应时，可立即切断攻击链路、清理痕迹并启动诱饵服务器，进一步压缩企业的响应时间，攻防双方的节奏失衡成为企业网络安全防护的核心挑战。

三、紧急处置：多维度联动实现攻击快速止损与漏洞修复

面对此次席卷全球的FortiGate自动化攻击，企业的核心应对原则是“先止损、后排查、再加固”，通过漏洞修复、入侵排查、凭据重置、访问管控等多维度联动措施，快速阻断攻击入口、清除恶意痕迹、修复安全漏洞，最大程度降低攻击造成的损失。针对此次攻击的特殊性，企业需立即执行以下紧急处置措施，且所有操作需优先覆盖核心业务系统对应的FortiGate设备。

（一）漏洞修复：优先禁用高危功能，及时跟进官方补丁

1. 临时应急措施：鉴于FortiOS 7.4.10版本仍未完全修复漏洞，企业需立即禁用FortiGate设备中的“admin-forticloud-sso-login”设置，关闭FortiCloud SSO功能，从源头阻断攻击者的漏洞利用路径，这是当前最有效的临时防护措施；
2. 官方补丁升级：密切关注Fortinet官方安全公告，立即将FortiOS升级至7.4.9及以上版本，待官方发布7.4.11、7.6.6、8.0.0等正式修复版本后，第一时间完成全量设备升级，确保漏洞被彻底修复；
3. 功能重启评估：若企业业务依赖FortiCloud SSO功能，需在补丁升级完成后，对该功能的安全配置进行全面评估，重新启用后需开启SAML消息签名验证，强化身份认证校验。

（二）入侵排查：全面扫描设备，清除恶意痕迹与后门入口

1. 日志审计排查：重点检查FortiGate设备日志，排查是否存在cloud-init@mail.io等恶意账户的登录记录、配置文件导出记录，以及短时间内连续的账户创建、权限修改操作；
2. 可疑账户清理：全面核查设备中的所有账户，立即删除secadmin、itadmin、support、backup等非企业自建的可疑后门账户，对无法确认归属的账户进行权限冻结并进一步核查；
3. 配置与权限校验：核对防火墙当前配置与历史备份配置，排查是否存在未授权的VPN访问权限配置、防火墙策略修改、高危端口开放等情况，发现异常立即恢复至正常配置；
4. 全网流量检测：结合企业流量分析工具，检测是否存在从攻击源IP到企业网络的异常流量，以及配置文件等大文件的异常下载行为，及时阻断异常流量。

（三）凭据重置：全量更新管理员凭据，强化密码安全策略

1. 密码紧急重置：立即重置FortiGate设备所有管理员账户的密码，包括本地账户与SSO关联账户，密码需满足强密码要求——长度不低于16位，包含大小写字母、数字与特殊字符，且避免使用与企业其他系统相同的密码；
2. 凭据轮换机制：对企业网络中与防火墙关联的核心设备、系统的管理员凭据进行全量轮换，防止攻击者通过破解防火墙凭据进一步渗透其他系统；
3. 禁用共享账户：立即禁用FortiGate设备的所有共享管理员账户，采用“一人一账户”的权限分配模式，确保操作行为可追溯、可审计。

（四）访问管控：最小化攻击面，限制设备管理接口访问

1. 公网端口关闭：立即关闭FortiGate设备管理接口在公网暴露的GUI/SSH等端口，禁止公网直接访问设备管理界面，仅保留内网可信网段的访问权限；
2. IP白名单管控：将设备管理接口的访问权限限制在可信IP白名单范围内，仅允许企业安全运维人员的固定办公IP、运维服务器IP访问，实现访问权限的最小化；
3. 多因素认证启用：为所有管理员账户启用多因素认证（MFA），即使密码被破解，攻击者也无法完成身份认证，进一步强化账户安全。

四、长效防护：从设备加固到体系重构，构建智能防御体系

此次FortiGate自动化攻击暴露了企业在网络设备安全防护中的共性问题——重功能部署、轻安全配置，重单点防护、轻体系构建，重人工运维、轻智能联动。2026年，面对AI驱动的智能化、自动化网络攻击，企业仅依靠临时的漏洞修复与紧急处置，已无法应对持续的安全威胁，必须从“被动防御”转向“主动防御、智能防御”，通过设备安全加固、自动化安全运营、智能防御体系构建，打造覆盖“检测-分析-响应-溯源-免疫”的全流程安全防护体系，从根本上提升企业的网络安全防御能力。

（一）设备安全加固：夯实核心网络设备的安全基础

核心网络设备是企业网络安全的第一道防线，其安全加固需贯穿“部署-配置-运维-升级”全生命周期，重点实现攻击面最小化与安全配置标准化。

1. 禁用无用功能：对防火墙、路由器等核心设备进行全面的功能梳理，立即禁用未使用的服务、接口与功能，如非必要不启用公网访问、第三方集成等功能，从源头减少漏洞暴露面；
2. 标准化安全配置：制定企业核心网络设备的安全配置规范，明确身份认证、权限分配、日志审计、加密传输等核心配置的标准要求，如强制开启SAML消息签名验证、最小化权限分配、开启全量日志记录等，避免因配置不当引发安全漏洞；
3. 定期备份与加密：建立设备配置文件的定期自动备份机制，备份文件采用高强度加密方式存储，并与生产环境隔离，确保设备遭攻击后可快速恢复至正常配置，同时防止备份文件泄露；
4. 常态化漏洞扫描：对核心网络设备开展常态化的漏洞扫描与安全检测，结合FortiGuard等全球威胁情报库，及时发现设备存在的高危漏洞与安全隐患，做到漏洞早发现、早修复。

（二）自动化安全运营：提升安全运维效率与响应速度

面对AI驱动的自动化攻击，企业的安全运营必须实现“自动化、智能化”，通过工具化、流程化的手段，替代传统的人工运维，缩短威胁检测与响应时间，匹配攻击方的节奏。

1. 建立补丁管理机制：构建企业级的漏洞补丁管理体系，实现对全网设备、系统的漏洞监测、补丁推送、升级部署与效果验证的全流程自动化管理，确保高危漏洞可在最短时间内完成全量修复，避免因补丁更新不及时引发攻击；
2. 配置自动化告警规则：基于企业的安全运营平台，为核心网络设备的关键操作配置自动化告警规则，如配置文件导出、账户创建、权限修改、设备登录等操作，一旦发生立即触发多渠道告警（邮件、短信、企业微信等），确保安全运维人员可第一时间发现异常；
3. 落地SOAR自动化响应：部署安全编排、自动化与响应（SOAR）平台，针对常见的网络攻击场景（如暴力破解、漏洞利用、配置窃取等），预设自动化响应剧本，实现威胁事件的“检测-分析-响应-处置”闭环，如检测到恶意IP登录时，自动触发IP封禁、设备隔离等操作，无需人工干预，大幅提升响应速度；
4. 定期开展渗透测试：结合企业的业务场景与网络架构，定期开展模拟真实攻击的渗透测试，重点针对核心网络设备与关键业务系统，检验企业的安全防御体系是否存在漏洞与短板，及时优化完善防护策略。

（三）智能防御体系构建：打造“全域感知、预测拦截、全网免疫”的防御能力

2026年，网络安全的核心竞争是“智能能力的竞争”，企业必须构建与AI攻击对等的智能防御体系，通过整合威胁情报、AI分析、全网联动等能力，实现从“被动检测”到“主动预测”的跨越。

1. 实现全域感知与漏洞可视化：整合企业网络、终端、云平台、核心设备的全量日志与流量数据，通过AI驱动的安全信息与事件管理系统（AI-SIEM），构建企业的“数字资产地图”，实现攻击面的可视化映射，标注各节点的风险等级，消除防御盲区，做到“知资产、知漏洞、知威胁”；
2. 构建预测性防御能力：基于机器学习算法与全球威胁情报，构建预测性防御模型，通过分析攻击行为特征、漏洞利用趋势、企业历史攻击数据，预判攻击者的下一步行动，在攻击发生前启动防御措施，如检测到异常端口扫描与弱密码尝试时，自动启动动态隔离，实现攻击的前置阻断；
3. 实现威胁情报全网共享与免疫：接入全球顶级威胁情报平台，并构建企业内部的威胁情报共享体系，实现“一处发现威胁，全网同步防御”，如某台设备检测到新型攻击手法时，威胁情报可自动同步至企业所有安全设备，快速生成检测与防御规则，实现全网免疫；
4. 融合安全架构实现协同防护：依托Fortinet Security Fabric等一体化安全架构，整合企业的防火墙、入侵防御系统、终端安全、云安全等所有安全组件，打破安全孤岛，实现安全能力的协同联动与策略的统一管控，如防火墙检测到恶意流量时，可立即通知终端安全设备进行扫描，云安全组件同步强化防护策略，形成立体防护体系。

（四）人员与流程优化：强化安全意识，完善应急响应体系

技术与工具是网络安全防护的基础，而人员的安全意识与标准化的应急响应流程，是确保防护体系有效落地的关键，二者缺一不可。

1. 开展针对性安全培训：定期对企业的安全运维人员、网络管理员开展针对性的安全培训，重点覆盖核心网络设备的安全配置、自动化攻击的识别与处置、应急响应流程等内容，提升相关人员的安全技能与应急处置能力，适应AI时代的网络安全防护需求；
2. 完善应急预案并定期演练：制定企业核心网络设备遭攻击的专项应急预案，明确攻击发生后的隔离、取证、修复、恢复、溯源等全流程操作规范，明确各部门与人员的职责分工，并定期开展应急演练，检验应急预案的可行性与人员的应急处置能力，确保攻击发生时可快速、有序开展处置工作；
3. 建立安全考核与问责机制：将网络设备安全防护纳入企业的安全考核体系，明确各岗位的安全职责，对因配置不当、运维疏忽、补丁更新不及时等原因引发安全事故的，进行严格的问责，倒逼相关人员重视网络设备的安全防护工作。

五、未来展望：AI攻防军备竞赛下的网络安全新格局

此次FortiGate自动化攻击事件，是2026年AI攻防军备竞赛的一个缩影。随着生成式AI、自主智能体、大语言模型等技术在网络安全领域的全面应用，网络攻击与防御的核心驱动力已从“人类智慧”转向“机器智能”，未来的网络安全战场，将是AI与AI的直接对抗，攻防双方的竞争焦点将集中在“漏洞挖掘的速度、攻击链的自主化程度、防御体系的智能联动能力”上。

在这一背景下，企业的网络安全防护将面临更多新的挑战：一是AI攻击工具的普及，使得攻击门槛大幅降低，企业面临的攻击频次与复杂度将持续提升；二是AI攻击的“黑盒特性”，使得攻击行为更隐蔽、溯源更困难，传统的安全检测手段逐渐失效；三是攻防节奏的持续失衡，企业的应急响应时间将被进一步压缩，对安全运营的自动化、智能化要求更高。但同时，AI技术也为网络安全防御带来了新的机遇，通过AI实现全域感知、预测拦截、自动溯源，可大幅提升企业的防御能力，实现与AI攻击的对等对抗。

未来，企业要在AI攻防军备竞赛中占据主动，必须构建“技术+工具+人员+流程”的全方位智能防御体系，将AI技术深度融合到网络安全防护的各个环节，同时加强与安全厂商、行业组织的合作，共享威胁情报与防御经验，形成全社会的网络安全防护合力。而对于网络安全厂商而言，需进一步强化产品的安全设计，从“功能优先”转向“安全优先”，同时加快AI防御技术的研发与落地，为企业提供更智能、更高效的安全产品与解决方案。

网络安全的本质是“人与人的对抗”，而在AI时代，其本质演变为“人与机器、机器与机器的双重对抗”。此次FortiGate自动化攻击事件再次警示我们，网络安全没有“一劳永逸”的防护方案，企业必须保持持续的安全警惕，不断优化完善安全防御体系，才能在日益复杂的网络安全环境中，守护好企业的数字资产与网络安全。