Fortinet SSL VPN altyapısını hedefleyen kaba kuvvet saldırılarında benzeri görülmemiş bir artış, koordineli saldırı kampanyalarına katılan 780’den fazla benzersiz IP adresi.
3 Ağustos saldırısı, son aylarda Greynoise’in Fortinet SSL VPN Bruteforcer etiketinde kaydedilen en yüksek tek günlük hacmi temsil ederek potansiyel sıfır gün güvenlik açıkları ve sofistike tehdit aktör operasyonları ile ilgili endişeleri artırıyor.
Key Takeaways
1. 780 unique IPs launched the largest recorded brute-force campaign against Fortinet SSL VPNs on August 3rd.
2. Attackers shifted targets from FortiOS to FortiManager systems within days, showing sophisticated operational evolution.
3. 80% of similar spikes precede CVE disclosures within six weeks—organizations should prepare for emergency patches.
Fortinet saldırısı dalgaları tespit edildi
Grinnoise, belirgin şekilde farklı özelliklere ve hedefleme metodolojilerine sahip iki farklı saldırı dalgası tanımladı.
İlk dalga, uzun süreler boyunca sabit trafik modellerini koruyan tutarlı bir TCP imzası kullanan sürekli kaba kuvvet aktivitesinden oluşuyordu.
Bununla birlikte, 5 Ağustos’tan itibaren ikinci dalga tamamen farklı bir TCP imza profili gösterdi ve koordineli altyapı dağıtımını öneren konsantre patlama modelleri sergiledi.
İlk 3 Ağustos trafik, Fortinet’in SSL VPN uygulamalarının kesin keşif ve kasıtlı hedeflemesini gösteren Geynoise’in Fortios profilini özellikle hedefledi.
Bununla birlikte, araştırmacılar, kombine TCP ve müşteri imzaları ile parmak izi olan trafik, Fortios sistemleri yerine FortimAnager – FGFM profillerini tutarlı bir şekilde hedeflemeye başladığında önemli bir taktiksel değişim gözlemlediler.
Bu davranışsal pivot, yeni saldırı vektörlerine uyum sağlayan aynı tehdit altyapısı veya farklı Fortinet’e bakan hizmetleri hedefleyen sofistike araç seti evrimini önermektedir.
Kampanyada tanımlanan önemli kötü amaçlı IP adresleri arasında 31.206.51.194, 23.120.100.230, 96.67.212.83, 104.129.137.162 ve 118.97.151.34 yer almaktadır. Coğrafi analiz, Hong Kong ve Brezilya’yı son 90 gün içinde birincil hedef ülkeler olarak ortaya koyuyor.
Ağustos sonrası 5. TCP parmak izlerine bağlı geçmiş verilerle ilgili araştırmalar, konut ağı altyapısına ilgi çekici bağlantılar ortaya koydu.
Geynoise, Pilot Fiber Inc.
Bu konut bağlantısı, ev ağlarından ilk takım geliştirme ve test veya saldırı kökenlerini gizlemek için konut vekil hizmetlerinin sofistike kullanımını önermektedir.
Cihaz, istismar ile son zamanlarda yapılan tespitleri gösterdi, ancak Spur.us gibi konut vekil kimlik hizmetleri tarafından tespit edilmedi ve potansiyel kaçırma yeteneklerini gösterdi.
JA4+ imza analizi, son saldırı dalgalarını önceki trafiğe bağlayan kümeleme modellerini ortaya çıkardı ve birden fazla kampanya aşamasında potansiyel ilişkilendirme bağlantıları oluşturdu.
Grinnoise araştırması, benzer saldırı sivri uçlarının% 80’inin altı hafta içinde CVE açıklamasından önce geldiğini ve Fortinet altyapısını etkileyen yakın güvenlik açığı duyurularını gösterdiğini göstermektedir.
Fortinet SSL VPN çözümlerini kullanan kuruluşlar, potansiyel acil durum yama gereksinimlerine hazırlanırken belirlenen saldırı imzalarıyla eşleşen trafiği derhal dinamik IP blok listeleri uygulamalı ve izlemelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.