一場全球暴力攻擊活動利用 280 萬個 IP 地址積極瞄準(zhǔn)邊緣安全設(shè)備，包括來自 Palo Alto Networks、Ivanti 和 SonicWall 等供應(yīng)商的 VPN、防火墻和網(wǎng)關(guān)。此次攻擊于 2025 年 1 月首次被發(fā)現(xiàn)，現(xiàn)已得到非營利性網(wǎng)絡(luò)安全組織 Shadowserver Foundation 的證實。

該攻擊于 2025 年 1 月首次被發(fā)現(xiàn)，近幾周攻擊愈演愈烈，威脅行為者試圖通過暴露的網(wǎng)絡(luò)基礎(chǔ)設(shè)施竊取登錄憑據(jù)。

攻擊概述

暴力攻擊涉及反復(fù)嘗試猜測用戶名和密碼，直到找到有效憑證。一旦被攻陷，設(shè)備可能會被劫持，用于未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問、數(shù)據(jù)竊取或集成到僵尸網(wǎng)絡(luò)中。

據(jù)威脅情報公司 Shadowserver Foundation 稱，此次攻擊活動每天使用 280 萬個唯一 IP，其中超過 110 萬個來自巴西，其次是土耳其、俄羅斯、阿根廷、摩洛哥和墨西哥。

攻擊 IP 分布在住宅代理網(wǎng)絡(luò)和受感染的設(shè)備上，包括 MikroTik、華為和思科路由器，可能是由大型僵尸網(wǎng)絡(luò)精心策劃的。

攻擊主要針對對遠程訪問至關(guān)重要的邊緣設(shè)備，例如：

• VPN 網(wǎng)關(guān)（Palo Alto Networks GlobalProtect、SonicWall NetExtender）
• 防火墻（Ivanti、Fortinet）
• 路由器和物聯(lián)網(wǎng)設(shè)備。

這些設(shè)備通常面向互聯(lián)網(wǎng)，因此成為主要攻擊目標(biāo)。受感染的系統(tǒng)有可能成為進一步攻擊的代理節(jié)點，從而使威脅者能夠?qū)阂饬髁總窝b成合法用戶活動。

Shadowserver 首席執(zhí)行官 Piotr Kijewski 證實，這些攻擊涉及實際的登錄嘗試，而不僅僅是掃描，這增加了憑證盜竊的可能性。

此次攻擊活動遵循了暴力攻擊不斷升級的模式。2024 年 4 月，思科報告了針對 Check Point、Fortinet 和 Ubiquiti 的 VPN 的類似攻擊，這些攻擊通常通過 TOR 出口節(jié)點和代理服務(wù)進行路由。

Ivanti（ CVE-2024-8190）和SonicWall（CVE-2025-23006 ）中的最新漏洞進一步凸顯了風(fēng)險，未修補的設(shè)備容易受到攻擊。

為了應(yīng)對日益嚴(yán)重的威脅，五眼網(wǎng)絡(luò)安全機構(gòu)（CISA、NCSC 等）發(fā)布了指導(dǎo)意見，敦促制造商改進邊緣設(shè)備的日志記錄和默認(rèn)安全性。

他們的建議強調(diào)消除默認(rèn)密碼并確保固件支持實時威脅檢測。

隨著暴力攻擊的規(guī)模和復(fù)雜程度不斷增長，組織必須優(yōu)先保護邊緣設(shè)備——通常是第一道防線。

每天有 280 萬個 IP 被用作武器，該活動凸顯了 MFA、嚴(yán)格補丁管理和網(wǎng)絡(luò)分段的迫切需求。Shadowserver 警告稱，攻擊可能會持續(xù)下去，并針對更多供應(yīng)商和地區(qū)。