网络安全解决方案提供商Fortinet确认，恶意参与者未经授权披露了与87000个FortiGate SSL-VPN设备相关的VPN登录名和密码。

该公司在周三的一份声明中表示：“这些凭证是从在参与者扫描时未与CVE-2018-13379进行修补的系统中获得的。尽管这些凭证可能已经修补，但如果密码没有重置，它们仍然容易受到攻击。”。

CVE-2018-13379涉及FortiOS SSL VPN web门户中的路径穿越漏洞，该漏洞允许未经验证的攻击者读取任意系统文件，包括会话文件，其中包含以明文形式存储的用户名和密码。

尽管该漏洞在2019年5月得到纠正，但多个对手多次利用该安全漏洞在未打补丁的设备上部署一系列恶意有效负载，促使Fortinet在2019年8月、2020年7月、2021年4月和2021年6月发布了一系列建议，敦促客户升级受影响的设备。

根据今年早些时候在澳大利亚、英国和美国的情报机构编制的一份清单，CVE-2018-13379也成为2020最被利用最多的缺陷之一。

鉴于泄漏，Fortinet建议公司立即禁用所有VPN，将设备升级到FortiOS 5.4.13、5.6.14、6.0.11或6.2.8及以上版本，然后启动组织范围的密码重置，警告“如果用户的凭据先前受到损害，升级后您可能仍然容易受到攻击。”