Los investigadores de ciberseguridad han advertido sobre «picos críticos» en el tráfico de fuerza bruta dirigida a dispositivos VPN Fortinet SSL.
Se observaron actividades coordinadas por empresa de información de amenazas Greynoise el 3 de agosto de 2025, con más de 780 direcciones IP únicas que participaron en este esfuerzo.
Se han detectado hasta 56 direcciones IP únicas en las últimas 24 horas. Todas las direcciones IP son maliciosas y los IP se originan en los Estados Unidos, Canadá, Rusia y los Países Bajos. Los objetivos para las actividades de la fuerza bruta incluyen Estados Unidos, Hong Kong, Brasil, España y Japón.
«Crítico, el tráfico observado se dirige a nuestro perfil de Fortios, lo que sugiere una orientación intencional y precisa de la VPN SSL de Fortinet», dijo Greynoise. «Esto no era oportunista. Era una actividad enfocada».
La compañía también señaló que identificaba dos ondas de asalto diferentes descubiertas en la época del 5 de agosto. Dos incluyen actividades de fuerza bruta a largo plazo vinculadas a una firma TCP que es relativamente estable con el tiempo, y una repentina explosión de tráfico intensivo con otra firma TCP.
«El tráfico del 3 de agosto se dirige al perfil Fortios, pero TCP y las firmas de clientes (meta firmas) se les llevó a cabo el 5 de agosto, pero no llegaron a Fortios», dijo la compañía. «En cambio, se dirigía constantemente a nuestro Cuarenta Managher».
«Esto estaba indicando un cambio en el comportamiento del atacante. Indica girar a un nuevo servicio Fortinet en una nueva infraestructura o conjunto de herramientas».
Además, una mirada más profunda a los datos históricos relacionados con la huella digital del TCP del 5 de agosto revela un pico de principios de junio con firmas de cliente únicas resueltas para el dispositivo FortiGate, un bloque ISP residencial administrado por Pilot Fiber Inc.
Esto aumentó la probabilidad de que la herramienta Brute Force se lanzó por primera vez desde una prueba o red doméstica. Otra hipótesis es el uso de agentes de vivienda.
Este desarrollo contradice el trasfondo de los hallazgos de que, después de un aumento en la actividad maliciosa, la divulgación de las nuevas CVE que afectan la misma tecnología a menudo continúa dentro de las seis semanas.
«Estos patrones eran exclusivos de las tecnologías de borde empresarial, como VPN, firewalls y herramientas de acceso remoto. Este es el mismo tipo de sistema que está cada vez más dirigido por actores de amenaza sofisticados».
Hacker News ha sido contactado con Fortinet para obtener más comentarios y se actualizará si hay una respuesta.
Source link
