Массовый перебор учёток на Fortinet — атака идёт по всей планете, от США до Японии

leer en español

Fortinet перебор IP SSL FortiOS брутфорс
Массовый перебор учёток на Fortinet — атака идёт по всей планете, от США до Японии
Fortinet перебор IP SSL FortiOS брутфорс

Жертвы в пяти странах, 800 IP-источников, одна цель.

image

Исследователи сообщили о резком росте попыток перебора учётных данных на устройствах Fortinet с включённой SSL VPN. Компания GreyNoise зафиксировала волну подозрительного трафика 3 августа 2025 года : в ней участвовало более 780 различных IP-адресов. За последние сутки добавились ещё 56 новых источников, все они признаны вредоносными . Атакующие действовали из США, Канады, России и Нидерландов, а жертвами стали системы, расположенные в Америке, Гонконге, Бразилии, Испании и Японии.

Исследователи подчёркивают, что атаки были нацелены конкретно на устройства Fortinet. Запросы точно совпадали с сигнатурами FortiOS , что указывает на хорошо спланированные действия, а не случайные сканирования. В отчёте подчёркивается, что злоумышленники действовали целенаправленно, с явной ориентацией на SSL VPN этой платформы.

Анализ выявил две отдельные серии атак. Первая представляла собой затяжной перебор с одним и тем же TCP-отпечатком. Вторая волна, начавшаяся после 5 августа, отличалась резким скачком активности и другим сетевым шаблоном. Если в первой фазе атаки были направлены на FortiOS, то позже фокус сместился на FortiManager, что может свидетельствовать о смене цели при сохранении прежней инфраструктуры или программных средств.

Дополнительный анализ показал: ещё в июне тот же отпечаток сетевого клиента был связан с FortiGate, работавшим через домашнюю сеть провайдера Pilot Fiber Inc. Это позволяет предположить, что инструмент тестировали или впервые запускали в бытовых условиях. Вариант с использованием резидентных прокси-серверов также не исключается.

GreyNoise напоминает, что подобные всплески часто предшествуют появлению новых уязвимостей. По их наблюдениям, в течение шести недель после роста активности часто публикуются CVE, связанные с соответствующей технологией. Речь, как правило, идёт о решениях, находящихся на границе корпоративной сети: VPN, шлюзах или системах удалённого подключения.

Fortinet пока не дала официальных комментариев.