Un aumento sin precedentes en los ataques de fuerza bruta dirigida a la infraestructura VPN Fortinet SSL, con más de 780 direcciones IP únicas que participan en campañas de asalto coordinadas.
El ataque del 3 de agosto representa el más alto volumen de un solo día registrado en la etiqueta Fortinet SSL SSL VPN BruteForcer de Greynoise en los últimos meses, lo que plantea preocupaciones sobre las posibles vulnerabilidades del día cero y las sofisticadas operaciones de actores de amenazas.
Control de llave
1. 780 IPS únicos lanzó la campaña de fuerza bruta más grande contra Fortinet SSL VPNS el 3 de agosto.
2. Los atacantes cambiaron objetivos de Fortios a sistemas Forttimanager en cuestión de días, mostrando una evolución operativa sofisticada.
3. El 80% de los picos similares preceden a las divulgaciones de CVE en seis semanas; las organizaciones deben prepararse para parches de emergencia.
Fortinet Attack Waves detectadas
Greynoise identificó dos ondas de ataque distintas con características marcadamente diferentes y metodologías de orientación.
La primera ola consistió en una actividad sostenida de fuerza bruta que utiliza una firma TCP consistente que mantenía patrones de tráfico constantes durante períodos prolongados.
Dirigido a Fortinet SSL VPN
Sin embargo, la segunda ola, a partir del 5 de agosto, demostró un perfil de firma TCP completamente diferente y exhibió patrones de explosión concentrados que sugirieron despliegue de infraestructura coordinada.
El tráfico inicial del 3 de agosto se dirigió específicamente al perfil Fortios de Greynoise, lo que indica un reconocimiento preciso y una focalización deliberada de las implementaciones de VPN SSL de Fortinet.
Sin embargo, los investigadores observaron un cambio táctico significativo cuando el tráfico huele realizado con huellas dactilares con TCP combinadas y firmas de clientes comenzó a dirigirse constantemente a los perfiles Forttimanager – FGFM en lugar de los sistemas Fortios.
Este pivote de comportamiento sugiere la misma infraestructura de amenaza que se adapta a nuevos vectores de ataque o una evolución sofisticada del conjunto de herramientas dirigido a diferentes servicios de fortinet.
Las direcciones IP maliciosas clave identificadas en la campaña incluyen 31.206.51.194, 23.120.100.230, 96.67.212.83, 104.129.137.162 y 118.97.151.34, entre otros. El análisis geográfico revela a Hong Kong y Brasil como los principales países objetivo en los últimos 90 días.
La investigación sobre datos históricos vinculados a las huellas digitales de TCP posteriores a agosto reveló conexiones intrigantes con la infraestructura de redes residenciales.
Greynoise descubrió un pico de junio anterior con una firma de cliente única que resolvió la dirección IP 104.129.137.162, identificado como un dispositivo FortiGate que funciona dentro de un bloque ISP residencial administrado por Pilot Fiber Inc.
Esta conexión residencial sugiere el desarrollo y las pruebas iniciales de las redes de redes domésticas o el uso sofisticado de servicios de poder residencial para ofuscar los orígenes de ataque.
El dispositivo mostró detecciones recientes de AbusedB pero permaneció sin ser detectado por servicios de identificación de proxy residencial como Spur.US, lo que indica capacidades de evasión potenciales.
El análisis de firma JA4+ reveló patrones de agrupación que conectan ondas de ataque recientes con tráfico anterior, estableciendo posibles enlaces de atribución en múltiples fases de campaña.
Nobleza La investigación indica Ese 80% de los picos de ataque similares preceden a la divulgación de CVE en seis semanas, lo que sugiere anuncios de vulnerabilidad inminentes que afectan la infraestructura de Fortinet.
Las organizaciones que utilizan soluciones VPN Fortinet SSL deben implementar inmediatamente listas de bloques IP dinámicas y monitorear para que coincidan con el tráfico de las firmas de ataque identificadas mientras se prepara para posibles requisitos de parches de emergencia.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
