Os pesquisadores de segurança cibernética da GreyNoise detectaram um aumento alarmante nos ataques de força bruta contra os sistemas Fortinet SSL VPN, com mais de 780 endereços IP exclusivos lançando ataques coordenados em um único dia, marcando o maior volume diário registrado para esse tipo de ataque nos últimos meses.
A campanha sofisticada parece representar uma escalada significativa na infraestrutura de rede corporativa da Fortinet, com os invasores demonstrando conhecimento preciso de seus alvos, em vez de varredura oportunista.
Volume de ataques sem precedentes sinaliza vulnerabilidade potencial
O aumento maciço no tráfego malicioso acionou o sistema de detecção Fortinet SSL VPN Bruteforcer da GreyNoise, representando um aumento dramático dos volumes de ataque típicos.
De acordo com GreyNoise investigação, esses picos concentrados na atividade do invasor geralmente servem como sinais de alerta precoce, com 80% de casos semelhantes historicamente seguidos pela divulgação de novas vulnerabilidades que afetam o mesmo fornecedor em seis semanas.
Esse padrão sugere que a campanha atual pode estar explorando pontos fracos anteriormente desconhecidos nos sistemas da Fortinet.
Os ataques demonstraram segmentação deliberadaem vez de varredura ampla, com tráfego focado especificamente em perfis FortiOS.
A análise geográfica revelou que Hong Kong e o Brasil emergiram como os principais países-alvo nos últimos 90 dias, indicando infraestrutura concentrada nessas regiões ou interesse estratégico específico dos agentes de ameaças.
A análise da campanha de ataque revelou duas fases operacionais distintas. A primeira onda consistiu em longa duração força bruta atividade vinculada a uma assinatura TCP consistente que manteve níveis estáveis ao longo do tempo.
No entanto, a partir de 5 de agosto, os pesquisadores identificaram uma súbita explosão concentrada de tráfego com uma assinatura TCP totalmente diferente, marcando uma clara evolução tática.
Mais significativamente, os invasores demonstraram adaptabilidade ao mudar seu foco dos sistemas FortiOS para os perfis FortiManager FGFM, mantendo a mesma infraestrutura subjacente.
Esse pivô sugere que os mesmos agentes de ameaças expandam seu escopo de segmentação ou esforços coordenados usando conjuntos de ferramentas compartilhados.
A investigação sobre a infraestrutura de ataque descobriu possíveis origens de rede residencial, com um endereço IP resolvendo para um dispositivo FortiGate operando dentro de um bloco de ISP residencial.
Embora isso possa indicar testes de redes domésticas, os pesquisadores observam que também pode refletir o uso de serviços de proxy residencial para obscurecer as verdadeiras origens do ataque.
A sofisticação técnica e a natureza direcionada da campanha representam uma ameaça significativa para as organizações que dependem do Fortinet SSL VPN Soluções.
A capacidade dos invasores de alternar rapidamente entre diferentes serviços da Fortinet, mantendo tentativas de acesso persistentes, demonstra recursos operacionais avançados.
Os pesquisadores da GreyNoise recomendam medidas defensivas imediatas, incluindo a implementação de bloqueio dinâmico de IP usando suas listas de endereços maliciosos marcados e o monitoramento das assinaturas de tráfego específicas associadas a esta campanha.
As organizações devem se preparar para possíveis divulgações de vulnerabilidades nas próximas semanas com base em padrões históricos que ligam surtos de ataques a revelações de segurança subsequentes.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!