一場全球暴力攻擊活動利用 280 萬個 IP 地址積極瞄準邊緣安全設備，包括來自 Palo Alto Networks、Ivanti 和 SonicWall 等供應商的 VPN、防火墻和網(wǎng)關。此次攻擊于 2025 年 1 月首次被發(fā)現(xiàn)，現(xiàn)已得到非營利性網(wǎng)絡安全組織 Shadowserver Foundation 的證實。

該攻擊于 2025 年 1 月首次被發(fā)現(xiàn)，近幾周攻擊愈演愈烈，威脅行為者試圖通過暴露的網(wǎng)絡基礎設施竊取登錄憑據(jù)。

攻擊概述

暴力攻擊涉及反復嘗試猜測用戶名和密碼，直到找到有效憑證。一旦被攻陷，設備可能會被劫持，用于未經(jīng)授權(quán)的網(wǎng)絡訪問、數(shù)據(jù)竊取或集成到僵尸網(wǎng)絡中。

據(jù)威脅情報公司 Shadowserver Foundation 稱，此次攻擊活動每天使用 280 萬個唯一 IP，其中超過 110 萬個來自巴西，其次是土耳其、俄羅斯、阿根廷、摩洛哥和墨西哥。

攻擊 IP 分布在住宅代理網(wǎng)絡和受感染的設備上，包括 MikroTik、華為和思科路由器，可能是由大型僵尸網(wǎng)絡精心策劃的。

攻擊主要針對對遠程訪問至關重要的邊緣設備，例如：

• VPN 網(wǎng)關（Palo Alto Networks GlobalProtect、SonicWall NetExtender）
• 防火墻（Ivanti、Fortinet）
• 路由器和物聯(lián)網(wǎng)設備。

這些設備通常面向互聯(lián)網(wǎng)，因此成為主要攻擊目標。受感染的系統(tǒng)有可能成為進一步攻擊的代理節(jié)點，從而使威脅者能夠?qū)阂饬髁總窝b成合法用戶活動。

Shadowserver 首席執(zhí)行官 Piotr Kijewski 證實，這些攻擊涉及實際的登錄嘗試，而不僅僅是掃描，這增加了憑證盜竊的可能性。

此次攻擊活動遵循了暴力攻擊不斷升級的模式。2024 年 4 月，思科報告了針對 Check Point、Fortinet 和 Ubiquiti 的 VPN 的類似攻擊，這些攻擊通常通過 TOR 出口節(jié)點和代理服務進行路由。

Ivanti（ CVE-2024-8190）和SonicWall（CVE-2025-23006 ）中的最新漏洞進一步凸顯了風險，未修補的設備容易受到攻擊。

為了應對日益嚴重的威脅，五眼網(wǎng)絡安全機構(gòu)（CISA、NCSC 等）發(fā)布了指導意見，敦促制造商改進邊緣設備的日志記錄和默認安全性。

他們的建議強調(diào)消除默認密碼并確保固件支持實時威脅檢測。

隨著暴力攻擊的規(guī)模和復雜程度不斷增長，組織必須優(yōu)先保護邊緣設備——通常是第一道防線。

每天有 280 萬個 IP 被用作武器，該活動凸顯了 MFA、嚴格補丁管理和網(wǎng)絡分段的迫切需求。Shadowserver 警告稱，攻擊可能會持續(xù)下去，并針對更多供應商和地區(qū)。