大规模DOS攻击利用280万个IP攻击VPN和防火墙登录

一场全球暴力攻击活动利用 280 万个 IP 地址积极瞄准边缘安全设备，包括来自 Palo Alto Networks、Ivanti 和 SonicWall 等供应商的 VPN、防火墙和网关。此次攻击于 2025 年 1 月首次被发现，现已得到非营利性网络安全组织 Shadowserver Foundation 的证实。

攻击概述

暴力攻击涉及反复尝试猜测用户名和密码，直到找到有效凭证。一旦被攻陷，设备可能会被劫持，用于未经授权的网络访问、数据窃取或集成到僵尸网络中。

据威胁情报公司 Shadowserver Foundation 称，此次攻击活动每天使用 280 万个唯一 IP，其中超过 110 万个来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥。

攻击 IP 分布在住宅代理网络和受感染的设备上，包括 MikroTik、华为和思科路由器，可能是由大型僵尸网络精心策划的。

攻击主要针对对远程访问至关重要的边缘设备，例如：

• VPN 网关（Palo Alto Networks GlobalProtect、SonicWall NetExtender）

• 防火墙（Ivanti、Fortinet）

• 路由器和物联网设备。

这些设备通常面向互联网，因此成为主要攻击目标。受感染的系统有可能成为进一步攻击的代理节点，从而使威胁者能够将恶意流量伪装成合法用户活动。

Shadowserver 首席执行官 Piotr Kijewski 证实，这些攻击涉及实际的登录尝试，而不仅仅是扫描，这增加了凭证盗窃的可能性。

此次攻击活动遵循了暴力攻击不断升级的模式。2024 年 4 月，思科报告了针对 Check Point、Fortinet 和 Ubiquiti 的 VPN 的类似攻击，这些攻击通常通过 TOR 出口节点和代理服务进行路由。

Ivanti（ CVE-2024-8190）和SonicWall（CVE-2025-23006 ）中的最新漏洞进一步凸显了风险，未修补的设备容易受到攻击。

为了应对日益严重的威胁，五眼网络安全机构（CISA、NCSC 等）发布了指导意见，敦促制造商改进边缘设备的日志记录和默认安全性。

他们的建议强调消除默认密码并确保固件支持实时威胁检测。

随着暴力攻击的规模和复杂程度不断增长，组织必须优先保护边缘设备——通常是第一道防线。

每天有 280 万个 IP 被用作武器，该活动凸显了 MFA、严格补丁管理和网络分段的迫切需求。Shadowserver 警告称，攻击可能会持续下去，并针对更多供应商和地区。