Siber güvenlik araştırmacıları, Fortinet SSL VPN cihazlarına yönelik kaba kuvvet trafiğinde “önemli bir artış” uyarıyor.
Tehdit istihbarat firması Greynoise başına koordineli faaliyet, 3 Ağustos 2025’te 780’ten fazla benzersiz IP adresi çabaya katıldı.
Son 24 saat içinde 56 benzersiz IP adresi tespit edildi. Tüm IP adresleri kötü niyetli olarak sınıflandırılmıştır, IP’ler ABD, Kanada, Rusya ve Hollanda’dan kaynaklanmaktadır. Brute-Force etkinliğinin hedefleri arasında ABD, Hong Kong, Brezilya, İspanya ve Japonya bulunmaktadır.
Geynoise, “Kritik olarak, gözlemlenen trafik Fortios profilimizi hedefliyordu ve Fortinet’in SSL VPN’lerinin kasıtlı ve hassas hedeflenmesini önerdi.” Dedi. “Bu fırsatçı değildi – odaklanmış faaliyetti.”
Şirket ayrıca, 5 Ağustos’tan önce ve sonra tespit edilen iki ayrı saldırı dalgası tanımladığını belirtti: biri, zaman içinde nispeten sabit kalan tek bir TCP imzasına bağlı uzun süredir devam eden, kaba kuvvet aktivitesi ve farklı bir TCP imzasıyla ani ve konsantre bir trafik patlaması içeriyordu.
Şirket, “3 Ağustos trafiği Fortios profilini hedef alırken, 5 Ağustos’tan itibaren TCP ve Meta İmzası ile Trafik parmak izi – Fortios’a çarpmıyordu.” “Bunun yerine, sürekli olarak fortimanager’ımızı hedefliyordu.”
Diyerek şöyle devam etti: “Bu, saldırgan davranışında bir değişim olduğunu gösterdi-potansiyel olarak aynı altyapı veya araç seti yeni bir Fortinet’e bakan hizmete dönüyor.”
Bunun da ötesinde, Ağustos sonrası 5 TCP parmak izi ile ilişkili geçmiş verilerin daha derin bir incelemesi, Haziran ayında Pilot Fiber Inc.
Bu, kaba kuvvet araçlarının başlangıçta bir ev ağından test edilmesi veya başlatılması olasılığını artırmıştır. Alternatif bir hipotez, bir konut vekilinin kullanılmasıdır.
Gelişme, kötü niyetli etkinlikte artışların genellikle altı hafta içinde aynı teknolojiyi etkileyen yeni bir CVE’nin açıklanması izlenir.
Şirket, “Bu kalıplar, VPN’ler, güvenlik duvarları ve uzaktan erişim araçları gibi kurumsal Edge teknolojilerine özel idi – gelişmiş tehdit aktörleri tarafından giderek daha fazla hedeflenen sistem türleri.”
Hacker News, daha fazla yorum için Fortinet’e ulaştı ve tekrar duyarsak güncelleyeceğiz.