一场全球暴力攻击活动利用 280 万个 IP 地址积极瞄准边缘安全设备,包括来自 Palo Alto Networks、Ivanti 和 SonicWall 等供应商的 VPN、防火墙和网关。此次攻击于 2025 年 1 月首次被发现,现已得到非营利性网络安全组织 Shadowserver Foundation 的证实。
该攻击于 2025 年 1 月首次被发现,近几周攻击愈演愈烈,威胁行为者试图通过暴露的网络基础设施窃取登录凭据。
攻击概述
暴力攻击涉及反复尝试猜测用户名和密码,直到找到有效凭证。一旦被攻陷,设备可能会被劫持,用于未经授权的网络访问、数据窃取或集成到僵尸网络中。
据威胁情报公司 Shadowserver Foundation 称,此次攻击活动每天使用 280 万个唯一 IP,其中超过 110 万个来自巴西,其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥。
攻击 IP 分布在住宅代理网络和受感染的设备上,包括 MikroTik、华为和思科路由器,可能是由大型僵尸网络精心策划的。
攻击主要针对对远程访问至关重要的边缘设备,例如:
- VPN 网关(Palo Alto Networks GlobalProtect、SonicWall NetExtender)
- 防火墙(Ivanti、Fortinet)
- 路由器和物联网设备。
这些设备通常面向互联网,因此成为主要攻击目标。受感染的系统有可能成为进一步攻击的代理节点,从而使威胁者能够将恶意流量伪装成合法用户活动。
Shadowserver 首席执行官 Piotr Kijewski 证实,这些攻击涉及实际的登录尝试,而不仅仅是扫描,这增加了凭证盗窃的可能性。
此次攻击活动遵循了暴力攻击不断升级的模式。2024 年 4 月,思科报告了针对 Check Point、Fortinet 和 Ubiquiti 的 VPN 的类似攻击,这些攻击通常通过 TOR 出口节点和代理服务进行路由。
Ivanti( CVE-2024-8190)和SonicWall(CVE-2025-23006 )中的最新漏洞进一步凸显了风险,未修补的设备容易受到攻击。
为了应对日益严重的威胁,五眼网络安全机构(CISA、NCSC 等)发布了指导意见,敦促制造商改进边缘设备的日志记录和默认安全性。
他们的建议强调消除默认密码并确保固件支持实时威胁检测。
随着暴力攻击的规模和复杂程度不断增长,组织必须优先保护边缘设备——通常是第一道防线。
每天有 280 万个 IP 被用作武器,该活动凸显了 MFA、严格补丁管理和网络分段的迫切需求。Shadowserver 警告称,攻击可能会持续下去,并针对更多供应商和地区。
