一個成立不到一年、卻以創紀錄速度擴張的勒索集團 The Gentlemen,正把矛頭對準企業的網路邊界。資安研究指出,其主要入口是 CVE-2024-55591——FortiOS/FortiProxy 的認證繞過漏洞,CVSS 高達 9.8,未認證攻擊者一個請求就能繞過登入、取得管理權限。一句話震撼點:你的防火牆,正在變成攻擊者的前門。
技術上,這個漏洞位於 FortiOS 對外的管理介面(Node.js websocket 元件),屬於典型的「未認證權限提升 → 完整接管」。攻擊鏈是這樣走的:掃描公網上暴露的 FortiGate 管理埠 → 利用 CVE-2024-55591 繞過認證建立 super-admin 帳號 → 從邊界打進內網 → 投放以 Go 撰寫、用 Garble 混淆的加密器。最毒的設計是那個 --spread 參數:一旦啟用,惡意程式就從「單機加密器」變成「會自我複製到每一台可達主機」的蠕蟲。除了漏洞,集團也對約 1,000 個 Fortinet VPN 實例做暴力破解,常用 gentlemen25、Gentlemen25 這類弱密碼。
影響範圍量化得很驚人:The Gentlemen 已宣稱至少 478 名受害者、橫跨 66 國與 20 多個產業,光是 2026 年 4 月就佔全球勒索活動約 10%;更可怕的是,集團手上握有約 14,700 台「已被入侵」的 FortiGate 存量,等於隨時可發動的彈藥。受害者僅約 13% 在美國,主力反而在泰國、英國、巴西、德國、印度——這是一個全球無差別、且特別愛吃「邊界設備沒收好」的獵人。
為什麼值得 24 小時內動手:補丁早已釋出,但「補了」不等於「乾淨」。下面拆解漏洞類型與攻擊路徑、補丁 vs 緩解對照、可立刻比對的 IOC,以及對 PHP/Laravel/Nginx/Linux 環境的具體建議。
技術細節:漏洞類型 + 攻擊路徑
漏洞類型是「未認證認證繞過(authentication bypass)導致的權限提升與 RCE 等級接管」,網路向量、無需互動、無需既有帳號。受影響的是暴露於公網的 FortiOS/FortiProxy 管理介面(受影響版本見官方 FortiGuard PSIRT FG-IR-24-535,涵蓋 FortiOS 7.0.0–7.0.16 等)。四步攻擊路徑:對暴露的管理埠發特製請求 → 繞過認證、建立惡意 super-admin → 以邊界為跳板橫向移動 → 投放 Go 加密器(可選 --spread 蠕蟲化)。教育、製造、專業服務都是高風險,因為這些單位常把設備管理介面直接擺在公網。
三類讀者的立刻行動
- 系統管理員:立刻比對 FortiOS 版本並套用官方修補;把所有邊界設備的管理介面(HTTP/HTTPS/SSH)從公網收進 VPN 或 IP 白名單;回溯登入與設定變更日誌,找異常 super-admin 帳號與境外登入。
- 開發者:即使你不用 Fortinet,原則一樣——管理後台、ERP、phpMyAdmin 不該對公網開放。Nginx 最小防線:
# 後台/管理路徑:只放行辦公室與 VPN 網段
location /admin/ {
allow 203.0.113.0/24; # office
allow 10.8.0.0/16; # vpn
deny all;
}- 接案商/顧問:寄一封客戶通告,標題就問:「你有任何管理後台或防火牆介面直接對公網嗎?」附一張免費的攻擊面自檢清單。這個教訓對每一個客製系統客戶都適用。
補丁 vs 緩解措施對照
| 項目 | 狀態 | 動作 |
|---|---|---|
| 官方補丁 | 已釋出 | 立即升級到 FortiGuard 指定的修補版本 |
| 網路層緩解 | 可自助 | 管理介面收進 VPN/白名單;停用 WAN 側 HTTP/HTTPS 管理 |
| 帳號層緩解 | 可自助 | 所有 VPN/管理帳號改強密碼 + 雙因素;移除不明 super-admin |
| 入侵回溯 | 必做(補丁後) | 檢查登入日誌、設定變更、gentlemen25 類帳號;輪換憑證 |
IOC 與威脅情資
- VPN/管理介面暴力破解使用的帳密字串:
gentlemen25、Gentlemen25 - 以 Go 撰寫、Garble 混淆的加密器執行檔;命令列含
--spread參數時會蠕蟲化 - FortiGate 管理埠出現非預期 super-admin 帳號、或來自泰國/英國/巴西等地的異常登入
- 集團背景:曾為 LockBit、Qilin、Medusa 等 RaaS 的 affiliate,採勒索 + Email + 電話的多管道施壓;另在追蹤 CVE-2025-32433、CVE-2025-33073
- 完整情資參考 The Hacker News 與 Halcyon 威脅評估報告
不會告訴你的事
- 這不是新漏洞,而是「舊漏洞被新集團工業化」。CVE-2024-55591 補丁早就有,受害的全是補丁窗口拖太久的單位——真正的問題不是漏洞,是修補節奏與資產盤點,這比任何零日都難解。
- 14,700 台「庫存」意味著最壞的情況已經發生過了:很多單位現在「沒事」只是因為攻擊者還沒輪到你。把現況當安全,是這類後門最喜歡的誤判。
這代表的更大趨勢
勒索產業正在「邊界化 + 自動化」:攻擊者不再費力釣魚,而是直接掃公網邊界設備、用已知認證繞過漏洞批量進門,再用蠕蟲化加密器降低人力成本。對中小企業,這意味著「修補速度」與「不暴露管理面」已經超越「買哪套防毒」成為第一順位的資安指標。
常見問題 FAQ
我們用 Fortinet 防火牆,怎麼快速判斷有沒有中招?
三件事立刻做:一,比對 FortiOS 版本是否在受影響清單(FortiOS 7.0.0–7.0.16 等)且未修補;二,查管理介面登入紀錄有沒有來自境外、或用 gentlemen25/Gentlemen25 這類字串的帳號;三,看防火牆管理埠(HTTP/HTTPS/SSH)是否直接對公網開放。任一命中就啟動事故應變。
我們不是用 Fortinet,這篇跟我有關嗎?
有關。核心教訓不是某個品牌,而是「邊界設備 + 未修補的認證繞過 + 管理介面對公網」這個組合。Cisco、Check Point、Ivanti 近期都有同型漏洞。把任何邊界設備的管理介面收進 VPN 或 IP 白名單,是這篇最該帶走的動作。
補丁已經出了,套下去就安全了嗎?
套補丁是必要但不充分。The Gentlemen 手上握有約 14,700 台「已被入侵」的 FortiGate 存量,意思是漏洞窗口期間被植入的後門,不會因為你今天升級就消失。修補後一定要做入侵回溯(登入紀錄、設定變更、異常帳號)並輪換所有憑證。
中小企業沒有資安團隊,最低成本怎麼自保?
三步:邊界設備管理介面一律不對公網(只走 VPN/白名單)、開啟並保存登入與設定變更稽核日誌、所有 VPN/管理帳號改成強密碼加雙因素。這三件事不用買新工具,卻擋掉這次攻擊鏈的絕大部分入口。
我的觀點
主流會說「快修 Fortinet、快裝 EDR」。我的判斷更逆風:對絕大多數中小企業,這次事件宣告的是「邊界設備自管時代的終結」。當一個半年大的集團,靠一個一年前就有補丁的漏洞,就能囤 14,700 台後門、橫掃 66 國,問題早就不是「你修得夠不夠快」,而是「你根本不該自己在公網上維運一台管理介面外露的防火牆」。把邊界收斂成「零管理面暴露 + 託管監控」會比追補丁更務實。對 ScriptWalker 的客戶看護機會:把「攻擊面季度健檢」做成固定服務——每季掃一次客戶所有對外入口(網站後台、phpMyAdmin、防火牆/VPN 管理面、SSH),交一份暴露清單與收斂計畫;這次 The Gentlemen 事件,就是最好的開場案例。