Una nuova campagna di forza bruta colpisce la VPN SSL di Fortinet in un attacco coordinato

Un'impennata di attacchi brute-force ai prodotti Fortinet potrebbe segnalare una nuova vulnerabilità. Una cronologia mostra una forte correlazione tra picchi di attacchi e falle di sicurezza.

Un'insolita impennata di attacchi informatici contro i prodotti di sicurezza di Fortinet ha messo in allerta gli esperti. Il 3 agosto 2025, i ricercatori dell'azienda di sicurezza informatica GreyNoise hanno rilevato un forte aumento degli attacchi brute-force, con oltre 780 indirizzi IP univoci che hanno preso di mira le VPN SSL di Fortinet in un solo giorno. Questa scoperta è stata rivelata in un dettagliato rapporto di ricerca condiviso con Hackread.com.

Per vostra informazione, un attacco brute-force si verifica quando un aggressore tenta ripetutamente di indovinare un nome utente o una password per entrare in un sistema. L'analisi di questo traffico condotta da GreyNoise ha rivelato uno sforzo mirato e deliberato da parte degli aggressori, non un semplice opportunismo casuale. La ricerca ha inoltre rilevato che Hong Kong e Brasile sono stati i principali paesi presi di mira negli ultimi 90 giorni.

Gli esperti di sicurezza di GreyNoise hanno osservato due distinte ondate di questi attacchi. La prima è stata un attacco continuo e di lunga durata, ma una seconda ondata, più mirata, è iniziata il 5 agosto. Mentre il traffico iniziale del 3 agosto aveva come obiettivo il sistema operativo principale di Fortinet, FortiOS , gli attacchi successivi si sono spostati su FortiManager, uno strumento che gestisce e configura più dispositivi Fortinet. Prendere di mira FortiManager potrebbe consentire agli aggressori di compromettere intere reti anziché singoli sistemi.

I ricercatori hanno anche trovato un indizio che gli aggressori potrebbero aver lanciato i loro strumenti da una rete residenziale , probabilmente da un computer di casa. Sebbene non sia una novità, questo è insolito per attacchi coordinati su così larga scala e potrebbe indicare che gli aggressori stanno cercando di camuffare le loro operazioni come normale traffico internet. Questo collegamento suggerisce una connessione tra i recenti attacchi e le precedenti attività osservate a giugno.

Secondo la ricerca di GreyNoise, picchi in questo tipo di attività di attacchi informatici sono spesso un segnale di allarme. L'azienda ha scoperto che l'80% di attacchi simili contro i prodotti di un fornitore sono seguiti dalla divulgazione pubblica di una nuova vulnerabilità di sicurezza.

Una cronologia di GreyNoise illustra visivamente questo collegamento. Il grafico sottostante mostra che i punti bianchi, che rappresentano un picco nell'attività di forza bruta, compaiono costantemente prima o contemporaneamente ai punti rossi, che rappresentano una nuova vulnerabilità di sicurezza pubblica (CVE). Questa correlazione suggerisce che un improvviso aumento dell'attività degli aggressori è un forte indicatore che una nuova falla potrebbe essere presto scoperta o divulgata.

Con questa nuova attività, si consiglia ai clienti Fortinet di mantenere la massima allerta e di utilizzare gli strumenti di GreyNoise per identificare e bloccare gli indirizzi IP dannosi. Hackread.com continuerà a monitorare attentamente la situazione per eventuali nuovi sviluppi.