2,8 milyon IP adresinden yararlanan küresel bir kaba kuvvet saldırısı kampanyası, VPN’ler, güvenlik duvarları ve Palo Alto Networks, Ivanti ve Sonicwall gibi satıcılardan gelen ağ geçitleri de dahil olmak üzere Edge Güvenlik cihazlarını aktif olarak hedefliyor.
İlk olarak Ocak 2025’te tespit edilen saldırı, kâr amacı gütmeyen bir siber güvenlik kuruluşu olan Shadowserver Vakfı tarafından doğrulandı.
İlk olarak Ocak 2025’te tespit edilen saldırı, son haftalarda yoğunlaştı ve tehdit aktörleri açıkta kalan ağ altyapısında giriş bilgilerini ihlal etmeye çalışıyor.
Saldırı Genel Bakış
Brute kuvvet saldırıları, geçerli kimlik bilgileri keşfedilinceye kadar kullanıcı adlarını ve şifreleri tahmin etme girişimlerini içerir. Meydan okuduktan sonra, cihazlar yetkisiz ağ erişimi, veri hırsızlığı veya botnetlere entegrasyon için kaçırılabilir.
Tehdit istihbarat firması Shadowserver Vakfı’na göre, bu kampanya günde 2,8 milyon benzersiz IP kullanıyor ve 1.1 milyondan fazla Brezilya’dan, ardından Türkiye, Rusya, Arjantin, Fas ve Meksika geliyor.
Saldırı IP’leri, muhtemelen büyük bir botnet tarafından düzenlenen Mikrotik, Huawei ve Cisco yönlendiricileri de dahil olmak üzere konut proxy ağlarına ve tehlikeye atılmış cihazlara dağıtılır.
Saldırılar, uzaktan erişim için kritik olan kenar cihazlarına odaklanıyor, örneğin:
- VPN Gateways (Palo Alto Networks GlobalProtect, Sonicwall NetExtender)
- Güvenlik Duvarları (Ivanti, Fortinet)
- Yönlendiriciler ve IoT cihazları.
Bu cihazlar genellikle internete bakar, bu da onları en önemli hedefler haline getirir. Meydan okulu sistemler, daha fazla saldırı için proxy düğümleri olma riski taşıyarak tehdit aktörlerinin meşru kullanıcı etkinliği olarak kötü niyetli trafiği maskelemelerini sağlar.
Shadowserver CEO’su Piotr Kijewski, saldırıların gerçek giriş girişimlerini içerdiğini doğruladı, sadece tarama değil, kimlik doğrulama olasılığını artırdı.
Bu kampanya, artan kaba kuvvet aktivitesi modelini takip ediyor. Nisan 2024’te Cisco, Check Point, Fortinet ve Ubiquiti’den VPN’leri hedefleyen benzer saldırılar bildirdi, genellikle Tor çıkış düğümleri ve proxy hizmetleri aracılığıyla yönlendirildi.
Ivanti (CVE-2024-8190) ve Sonicwall (CVE-2025-23006) ‘daki son güvenlik açıkları, sömürüye duyarlı olmayan cihazlar ile riskleri daha da vurgulamaktadır.
Artan tehditlere yanıt olarak, beş göz siber güvenlik ajansı (CISA, NCSC, vb.) Üreticileri Edge cihazları için günlük kaydı ve varsayılan güvenliği artırmaya çağıran rehberlik yayınladı.
Danışmanları, varsayılan şifrelerin ortadan kaldırılmasını ve ürün yazılımının gerçek zamanlı tehdit algılamasını desteklemesini vurgulamaktadır.
Brute Force saldırıları ölçek ve sofistike büyüdükçe, kuruluşlar genellikle ilk savunma hattı olan kenar cihazlarının güvence altına alınmalıdır.
Her gün 2,8 milyon IP silahlı kampanya, MFA, titiz yama yönetimi ve ağ segmentasyonuna olan acil ihtiyacı vurgulamaktadır. Shadowserver, ek satıcıları ve bölgeleri hedefleyerek saldırıların devam edeceği konusunda uyarıyor.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free