针对 Fortinet VPN 的暴力攻击激增，引发零日漏洞担忧

HackerNews 编译，转载请注明出处：

本月上旬，针对Fortinet SSL VPN的暴力破解攻击出现大规模激增，随后攻击目标转向FortiManager，这种有预谋的转向在历史上往往预示着新漏洞即将被披露。

威胁监测平台GreyNoise检测到此次攻击活动呈现两波高峰：8月3日的攻击针对FortiOS SSL VPN设备，而8月5日的第二波攻击则转向FortiManager服务，且具有不同的TCP流量特征。该平台指出，此类针对性扫描与暴力破解行为在80%的情况下会先于新安全漏洞曝光出现。

“最新研究表明，此类活动激增通常预示着同一厂商的新漏洞即将披露——其中80%会在六周内公开，”GreyNoise警告称，“事实上，监测数据明确显示，当前攻击流量特征与未来Fortinet产品漏洞披露存在显著关联。”因此，防御者不应将这些活动激增视为对已修复漏洞的无效攻击尝试，而应将其视为零日漏洞披露的前兆，并立即强化安全措施予以拦截。

攻击活动时间线

8月3日：GreyNoise监测到针对Fortinet SSL VPN的暴力破解尝试激增，该活动与早前持续攻击存在关联。通过JA4+指纹分析（一种加密流量识别分类技术），研究人员将此次攻击与6月的活动相关联——当时攻击源自住宅ISP提供商Pilot Fiber公司IP段内的一台FortiGate设备。“这种关联虽不能确认攻击来源，但表明攻击工具或网络环境可能存在复用。”GreyNoise在公告中说明。

8月5日：同一攻击者发起新一波暴力破解活动，目标从FortiOS SSL VPN端点转向FortiManager的FGFM服务。“8月3日的流量针对FortiOS配置文件，而8月5日起携带特定TCP与客户端签名（元特征）的流量不再攻击FortiOS，转而持续针对我们的FortiManager系统，”研究人员解释道。这一转变表明攻击者可能使用相同工具或基础设施，从VPN登录破解转向FortiManager访问破解。

恶意IP地址清单

以下参与攻击的IP地址应加入拦截名单：

31.206.51.194

23.120.100.230

96.67.212.83

104.129.137.162

118.97.151.34

180.254.147.16

20.207.197.237

180.254.155.227

185.77.225.174

45.227.254.113

防御建议

GreyNoise强调该恶意活动正持续进化，其攻击源集群极可能进行自适应测试。这类行为不同于通常范围更广、频率有限的研究性扫描，因其涉及凭证暴力破解，已构成明确的入侵企图。防御方需采取以下措施：

• 立即拦截上述IP地址
• 强化Fortinet设备登录防护
• 严格限制外部访问权限，仅允许受信IP范围及VPN接入

消息来源： bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文