Nowa kampania siłowa atakuje sieć VPN SSL firmy Fortinet w ramach skoordynowanego ataku

Wzrost liczby ataków siłowych na produkty Fortinet może sygnalizować nową lukę w zabezpieczeniach. Oś czasu pokazuje silny związek między wzrostem liczby ataków a lukami w zabezpieczeniach.

Nietypowy wzrost liczby cyberataków na produkty zabezpieczające firmy Fortinet postawił ekspertów w stan gotowości. 3 sierpnia 2025 roku badacze z firmy GreyNoise, zajmującej się cyberbezpieczeństwem, wykryli znaczny wzrost liczby ataków siłowych. W ciągu jednego dnia ponad 780 unikalnych adresów IP zaatakowało sieci VPN SSL firmy Fortinet . Odkrycie to zostało ujawnione w szczegółowym raporcie badawczym udostępnionym serwisowi Hackread.com.

Dla Państwa informacji, atak brute-force to sytuacja, w której atakujący wielokrotnie próbuje odgadnąć nazwę użytkownika lub hasło, aby włamać się do systemu. Analiza tego ruchu przeprowadzona przez GreyNoise ujawniła, że atakujący celowo i celowo działają, a nie tylko wykorzystują okazję. Badanie wykazało również, że Hongkong i Brazylia były głównymi celami ataków w ciągu ostatnich 90 dni.

Eksperci ds. bezpieczeństwa GreyNoise zaobserwowali dwie odrębne fale tych ataków. Pierwsza była długotrwałym, stałym atakiem, ale druga, bardziej skoncentrowana, rozpoczęła się 5 sierpnia. Podczas gdy początkowy ruch z 3 sierpnia był skierowany na główny system operacyjny Fortinet, FortiOS , późniejsze ataki przeniosły się na FortiManager, narzędzie do zarządzania i konfigurowania wielu urządzeń Fortinet. Celowanie w FortiManager mogło umożliwić atakującym przejęcie kontroli nad całymi sieciami, a nie poszczególnymi systemami.

Naukowcy znaleźli również wskazówkę, że atakujący mogli uruchomić swoje narzędzia z sieci domowej , prawdopodobnie z komputera domowego. Choć nie jest to niespotykane, jest to nietypowe w przypadku tak dużych, skoordynowanych ataków i może oznaczać, że atakujący próbują zamaskować swoje działania pod postacią normalnego ruchu internetowego. To powiązanie sugeruje związek między ostatnimi atakami a wcześniejszą aktywnością zaobserwowaną w czerwcu.

Według badań GreyNoise, gwałtowne wzrosty tego typu cyberataków często stanowią sygnał ostrzegawczy. Firma odkryła, że 80% podobnych wzrostów ataków na produkty danego dostawcy kończy się publicznym ujawnieniem nowej luki w zabezpieczeniach.

Oś czasu z GreyNoise wizualnie ilustruje to powiązanie. Poniższy wykres pokazuje, że białe kropki, które reprezentują gwałtowny wzrost aktywności siłowej, konsekwentnie pojawiają się przed czerwonymi kropkami, które reprezentują nową lukę w zabezpieczeniach bezpieczeństwa publicznego (CVE), lub w tym samym czasie. Ta korelacja sugeruje, że nagły wzrost aktywności atakujących jest silnym sygnałem, że nowa luka w zabezpieczeniach może wkrótce zostać odkryta lub ujawniona.

W związku z tą nową aktywnością, klienci Fortinet proszeni są o zachowanie podwyższonej czujności i korzystanie z narzędzi GreyNoise do identyfikacji i blokowania złośliwych adresów IP. Hackread.com będzie nadal uważnie monitorować sytuację w celu wykrycia nowych zdarzeń.