攻击者针对Fortinet防火墙设备FortiGate发起攻击，借此获取受害组织内部网络的访问权限。近期一起事件中，黑客利用AI策划攻击行动，并生成所需恶意程序，专门针对配置不当的FortiGate设备下手。值得注意的是，该公司近期修补的重大漏洞已被再度利用，企业应提高警惕。

安全公司SentinelOne近日披露多起入侵事件，攻击者自2025年11月起，利用安全漏洞渗透FortiGate设备，获取内部网络访问入口，进而窃取服务账户与系统配置文件，最终深入企业内部的Active Directory（AD）环境，并部署远程管理工具。

攻击者主要利用多个Fortinet单点登录（SSO）漏洞，包括CVE-2025-59718与CVE-2025-59719，这些漏洞源于系统未正确验证加密签名，使未经认证的攻击者可通过伪造的SSO令牌获取管理员权限。此外，另一漏洞CVE-2026-24858也可能被利用，允许攻击者通过其个人FortiCloud账户登录受害设备。

一旦成功访问FortiGate设备，攻击者会执行特定指令导出设备配置文件。由于FortiOS的配置文件采用可逆加密方式存储，攻击者可从中解析出系统服务账户与网络拓扑信息，从而获得进一步渗透企业环境所需的凭证。

在其中一起事件中，攻击者利用获取的服务账户权限连接至企业网络，滥用AD配置中的mS-DS-MachineAccountQuota属性，将两台恶意工作站加入域。该属性默认允许普通账户最多添加10台计算机入域，使攻击者能在较低安全限制下进一步渗透。

SentinelOne指出，攻击者随后在内网进行扫描与密码喷洒攻击，试图获取更多账户权限。受害组织的AD系统中观测到大量登录失败记录，表明攻击者正尝试通过暴力破解方式获取更多凭证。

在另一起事件中，攻击者入侵FortiGate设备后创建名为“ssl-admin”的本地管理员账户，随后利用获取的域管理员凭据登录多台服务器。研究人员发现，攻击者在登录后部署了远程监控与管理（RMM）工具，例如Pulseway与MeshAgent，以维持长期访问权限。

攻击者同时利用云存储服务下载恶意程序，相关服务包括Google Cloud Storage与Amazon S3，并将恶意DLL伪装成Java组件，通过DLL侧载手法执行。这些程序随后与外部恶意域名通信，并借助PsExec在内网横向移动，对域控制器（DC）发起攻击。