Fortinet SSL VPN sob ataque coordenado

Fortinet SSL VPN sob ataque coordenado: análise da onda de brute-force

Em 3 de agosto de 2025, uma intensa campanha de ataques de brute-force coordenados sobre dispositivos Fortinet SSL VPN foi detectada por pesquisadores da GreyNoise. Mais de 780 endereços IP únicos — originários dos Estados Unidos, Canadá, Rússia e Holanda — participaram da ação, em um esforço claramente focado e não aleatório, com alvos em regiões como Brasil, Estados Unidos, Hong Kong, Espanha e Japão.

Padrões de ataque em duas fases e mudança de alvo

A análise da GreyNoise identificou duas fases distintas no ataque. A primeira consistiu em tráfego contínuo com uma assinatura TCP estável. A segunda, iniciada em 5 de agosto, exibiu uma assinatura TCP totalmente diferente e tráfego concentrado repentinamente. Enquanto a primeira fase visava diretamente o perfil FortiOS da Fortinet, a segunda fase passou a focar sistematicamente no FortiManager, indicando uma mudança tática e adaptação rápida dos invasores.

Infraestrutura sofisticada e origem residencial dos ataques

A investigação revelou que parte do tráfego da segunda fase teve origem em um dispositivo FortiGate localizado em um bloco de ISP residencial gerenciado pela Pilot Fiber Inc. Isso sugere que os atacantes podem ter utilizado redes domésticas para testar ou lançar suas ferramentas de brute-force — ou ainda, empregaram proxies residenciais para mascarar a origem real da campanha.

Sinais de alerta que antecipam novas vulnerabilidades

A dinâmica observada — picos de tráfego malicioso direcionado a tecnologias empresariais de borda como VPNs e firewalls — acontece frequentemente antes da divulgação pública de vulnerabilidades críticas (CVEs), geralmente num intervalo máximo de seis semanas. Isso reforça a urgência de preparação das equipes de segurança para receber e aplicar patches emergenciais.

Conclusão

A recente campanha de brute-force contra Fortinet SSL VPNs evidencia como atitudes estratégicas e coordenadas podem escalar rapidamente e desafiar defesas corporativas. A alternância entre FortiOS e FortiManager como alvos mostra não apenas a adaptabilidade dos atacantes, mas também a necessidade de visibilidade constante sobre todos os componentes da infraestrutura Fortinet. A origem residencial dos ataques destaca o uso criativo de ambientes domésticos para ocultar ações maliciosas. Para mitigar riscos, é crucial que equipes de segurança implementem listas dinâmicas de bloqueio, monitorem assinaturas suspeitas, preparem respostas rápidas para CVEs emergentes e adotem uma postura proativa na gestão de suas interfaces expostas.

Referências Bibliográficas

• Ataque a dispositivos Fortinet SSL VPN – CaveiraTech, 12 de agosto de 2025. Disponível em: https://caveiratech.com/post/ataque-a-dispositivos-fortinet-ssl-vpn-1883223

• Fortinet SSL VPNs Hit by Global Brute-Force Wave Before Attackers Shift to FortiManager – The Hacker News, 12 de agosto de 2025. Disponível em: https://thehackernews.com/2025/08/fortinet-ssl-vpns-hit-by-global-brute.html?utm_source=chatgpt.com