全球資安社群本週面臨兩大緊急威脅:Fortinet FortiWeb 網頁應用防火牆遭未認證漏洞攻擊,攻擊者可直接建立管理員帳戶;同時美國 CISA 發布警告,Akira 勒索軟體已擴展加密能力至 Nutanix AHV 虛擬化平台。兩起事件均涉及普遍部署的企業關鍵基礎設施,資安團隊應立即展開緊急檢查。
Fortinet FortiWeb 路徑遍歷漏洞遭全球攻擊
威脅情報公司 Defused 於 10 月 6 日首次發現針對 Fortinet FortiWeb 設備的認證繞過漏洞(CVE-2025-52970)利用活動,攻擊者透過路徑遍歷(Path Traversal)弱點,在無需任何認證的情況下於受影響設備上建立管理員帳戶。隨後攻擊活動急遽增加,目前已演變為全球性的大規模掃描攻擊。
根據 PwnDefend 的 Daniel Card 與 Defused 聯合發布的研究報告,該漏洞影響 FortiWeb 的特定 API 端點。攻擊者利用路徑遍歷技術繞過正常的認證機制,透過發送精心構造的 HTTP POST 請求至以下路徑即可建立本地管理員層級帳戶:
/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi
該攻擊路徑結合兩種技術手法:首先使用 URL 編碼將問號「?」轉換為「%3f」,這是網址中用來混淆特殊字元的標準編碼方式;其次利用目錄遍歷序列「../」向上層目錄移動,最終繞過 API 的存取控制機制,直接存取底層的 CGI 處理程序 fwbcgi。這種組合技術讓攻擊者能夠欺騙系統的路徑驗證機制,存取原本受保護的管理功能。
研究人員觀察到攻擊者使用多組預設的帳戶組合,包括使用者名稱 Testpoint、trader1、trader 等,搭配密碼如 3eMIXX43、AFT3$tH4ck、AFT3$tH4ckmet0d4yaga!n 等。攻擊來源遍布全球,主要 IP 位址包括 107.152.41.19、144.31.1.63、64.95.13.8,以及 185.192.70.0/24 網段範圍內的多個位址。
資安研究機構 watchTowr Labs 已確認該漏洞可被成功利用,並公開展示了從登入失敗到執行漏洞利用程式,最終以新建管理員帳戶成功登入的完整攻擊流程。watchTowr 更釋出名為「FortiWeb Authentication Bypass Artifact Generator」的工具,該工具會嘗試建立基於 UUID 衍生的 8 字元隨機使用者名稱管理員帳戶,協助防禦方識別易受攻擊的設備。
根據 Rapid7 的跨版本測試結果,該漏洞影響 FortiWeb 8.0.1 及更早版本,已於 10 月底釋出的 8.0.2 版本中修補。然而值得注意的是,Fortinet 官方產品安全事件回應團隊(PSIRT)網站目前尚未發布與此漏洞相符的公開揭露資訊,顯示此漏洞可能是在修補後才被外部研究人員發現正遭利用。
Akira 勒索軟體首次加密 Nutanix 虛擬機器
美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、國防部網路犯罪中心(DC3)、衛生及公共服務部(HHS)以及多個國際合作夥伴聯合發布更新公告,警告 Akira 勒索軟體組織已擴展其加密能力,開始鎖定 Nutanix AHV 虛擬機器磁碟檔案。該公告整合了 FBI 調查結果與第三方回報資料,涵蓋截至 2025 年 11 月的最新威脅指標。
公告指出,2025 年 6 月 Akira 威脅行為者首次加密 Nutanix AHV 虛擬機器磁碟檔案,標誌其攻擊能力從 VMware ESXi 和 Hyper-V 進一步擴展。攻擊者透過濫用 SonicWall 漏洞 CVE-2024-40766(CWE-284:不當存取控制)作為入侵途徑之一。
Nutanix AHV 是基於 Linux 的虛擬化解決方案,在企業超融合基礎架構市場非常受歡迎。據外媒報導,專家分析 Akira Linux 加密程式發現,其嘗試加密 .qcow2 副檔名的檔案,這正是 Nutanix AHV 使用的虛擬磁碟格式。值得注意的是,該檔案格式自 2024 年底開始即已成為 Akira 加密程式的目標之一。
不過相較於針對 VMware ESXi 的成熟攻擊手法,Akira 對 Nutanix 環境的攻擊技術仍在發展階段。在 ESXi 環境中,Akira 會使用 esxcli 和 vim-cmd 指令優雅地關閉虛擬機器後再加密磁碟,但對於 Nutanix AHV 環境,目前僅直接加密 .qcow2 檔案,並未使用 Nutanix 平台的 acli 或 ncli 命令列工具來正常關閉 AHV 虛擬機器。
更新公告同時揭露 Akira 的最新入侵與橫向移動技術細節。攻擊者取得初始存取權限後,會使用 nltest 進行網域環境偵察、部署 AnyDesk 和 LogMeIn 等遠端存取工具、利用 Impacket 工具包的 wmiexec.py 進行橫向移動,以及執行 VB 腳本建立持久性機制。Akira 成員還會主動移除端點偵測工具,並建立新的管理員帳戶以維持存取權限。
在一起攻擊案例中,攻擊者關閉網域控制站(Domain Controller)虛擬機器,複製其 VMDK 檔案並掛載至新的虛擬機器,隨後擷取 NTDS.dit 檔案和 SYSTEM 登錄區來取得網域管理員帳戶憑證。此外,攻擊者會進一步利用 Veeam Backup & Replication 伺服器的 CVE-2023-27532 或 CVE-2024-40711 漏洞存取並刪除備份系統,確保受害組織無法輕易復原資料。在某些攻擊案例中,Akira 能在短短兩小時內完成資料竊取,並使用 Ngrok 等通道工具建立加密的命令與控制(C2)通道,有效繞過周邊監控機制。
企業應立即採取的防護措施
針對 Fortinet FortiWeb 用戶,資安團隊應立即檢查設備上是否存在異常的管理員帳戶,特別是前述研究人員觀察到的帳戶名稱模式。管理者應審查系統日誌,搜尋針對 /cgi-bin/fwbcgi 路徑的 HTTP POST 請求記錄,並調查來自可疑 IP 位址,包括
107.152.41.19、144.31.1.63、64.95.13.8 及 185.192.70.0/24 網段的任何活動。最重要的是,管理者應盡快更新至 FortiWeb 8.0.2 版本,並確保管理介面不可從網際網路直接存取,僅限受信任網路或 VPN 連線。
對於使用 Nutanix AHV 或其他虛擬化平台的企業,CISA 與 FBI 持續建議實施定期離線備份、強制執行多因素驗證(MFA),以及快速修補已知被利用的漏洞。企業應特別檢視 SonicWall (
CVE-2024-40766) 和 Veeam 系統(CVE-2023-27532、
CVE-2024-40711)的修補狀態,這些系統已成為 Akira 組織的主要攻擊目標。此外,組織應監控網路中是否存在 Ngrok 等通道工具的異常使用,並定期審查管理員帳戶的建立與權限變更記錄。
本文轉載自bleepingcomputer。