Neue Brute-Force-Kampagne trifft Fortinet SSL VPN in koordiniertem Angriff

Eine Zunahme von Brute-Force-Angriffen auf Fortinet-Produkte könnte auf eine neue Sicherheitslücke hinweisen. Eine Zeitleiste zeigt einen starken Zusammenhang zwischen Angriffsspitzen und Sicherheitslücken.

Ein ungewöhnlicher Anstieg der Cyberangriffe auf Sicherheitsprodukte von Fortinet hat Experten alarmiert. Am 3. August 2025 entdeckten Forscher des Cybersicherheitsunternehmens GreyNoise einen starken Anstieg von Brute-Force-Angriffen: An einem einzigen Tag griffen über 780 einzelne IP-Adressen die SSL-VPNs von Fortinet an. Diese Entdeckung wurde in einem ausführlichen Forschungsbericht veröffentlicht, der Hackread.com vorliegt.

Zur Information: Bei einem Brute-Force -Angriff versucht ein Angreifer wiederholt, einen Benutzernamen oder ein Passwort zu erraten, um in ein System einzudringen. Die Analyse dieses Datenverkehrs durch GreyNoise ergab, dass die Angreifer gezielt und gezielt vorgingen und nicht nur zufällige Opportunität betrieben. Die Untersuchung ergab außerdem, dass Hongkong und Brasilien in den letzten 90 Tagen die am häufigsten betroffenen Länder waren.

Die Sicherheitsexperten von GreyNoise beobachteten zwei unterschiedliche Angriffswellen. Die erste war ein lang anhaltender, stetiger Angriff, doch eine zweite, gezieltere Welle begann am 5. August. Während der anfängliche Datenverkehr am 3. August auf Fortinets Hauptbetriebssystem FortiOS abzielte, konzentrierten sich die späteren Angriffe auf FortiManager, ein Tool zur Verwaltung und Konfiguration mehrerer Fortinet-Geräte. Durch den Angriff auf FortiManager könnten Angreifer ganze Netzwerke statt einzelner Systeme kompromittieren.

Die Forscher fanden außerdem Hinweise darauf, dass die Angreifer ihre Tools möglicherweise von einem privaten Netzwerk , möglicherweise einem Heimcomputer, aus gestartet haben. Dies ist zwar nicht ungewöhnlich, aber für solch groß angelegte, koordinierte Angriffe ungewöhnlich und könnte bedeuten, dass die Angreifer versuchen, ihre Aktivitäten als normalen Internetverkehr zu tarnen. Dieser Zusammenhang deutet auf eine Verbindung zwischen den jüngsten Angriffen und früheren Aktivitäten im Juni hin.

Untersuchungen von GreyNoise zufolge sind Spitzen bei derartigen Cyberangriffen oft ein Warnsignal. Das Unternehmen fand heraus, dass auf 80 % ähnlicher Angriffswellen gegen die Produkte eines Anbieters die öffentliche Bekanntgabe einer neuen Sicherheitslücke folgt.

Eine Zeitleiste von GreyNoise veranschaulicht diesen Zusammenhang. Die folgende Grafik zeigt, dass weiße Punkte, die einen Anstieg der Brute-Force-Aktivität darstellen, immer vor oder gleichzeitig mit roten Punkten erscheinen, die eine neue öffentliche Sicherheitslücke (CVE) darstellen. Diese Korrelation deutet darauf hin, dass ein plötzlicher Anstieg der Angreiferaktivität ein starker Indikator dafür ist, dass bald eine neue Schwachstelle entdeckt oder bekannt wird.

Angesichts dieser neuen Aktivität wird Fortinet-Kunden geraten, weiterhin wachsam zu bleiben und die Tools von GreyNoise zu nutzen, um schädliche IP-Adressen zu identifizieren und zu blockieren. Hackread.com wird die Situation weiterhin aufmerksam beobachten und auf neue Entwicklungen aufmerksam machen.