Nieuwe brute-force-campagne treft Fortinet SSL VPN in gecoördineerde aanval
Een toename van brute-force-aanvallen op Fortinet-producten zou kunnen wijzen op een nieuwe kwetsbaarheid. Een tijdlijn toont een sterk verband tussen aanvalspieken en beveiligingslekken.
Een ongebruikelijke toename van cyberaanvallen op beveiligingsproducten van Fortinet heeft experts in staat van paraatheid gebracht. Op 3 augustus 2025 ontdekten onderzoekers van cybersecuritybedrijf GreyNoise een enorme piek in brute-force-aanvallen, waarbij meer dan 780 unieke IP-adressen op één dag de SSL VPN's van Fortinet aanvielen. Deze ontdekking werd onthuld in een gedetailleerd onderzoeksrapport dat werd gedeeld met Hackread.com.
Ter informatie: een brute-force -aanval is een aanval waarbij een aanvaller herhaaldelijk probeert een gebruikersnaam of wachtwoord te raden om in te breken in een systeem. GreyNoise's analyse van dit verkeer onthulde een gerichte en doelbewuste poging van aanvallers, niet zomaar willekeurig opportunisme. Het onderzoek toonde ook aan dat Hongkong en Brazilië de belangrijkste doelwitlanden waren in de afgelopen 90 dagen.
Beveiligingsexperts van GreyNoise observeerden twee afzonderlijke golven van deze aanvallen. De eerste was een langdurige, aanhoudende aanval, maar een tweede, meer gerichte golf begon op 5 augustus. Terwijl het aanvankelijke verkeer op 3 augustus gericht was op Fortinet's belangrijkste besturingssysteem, FortiOS , verschoven de latere aanvallen naar FortiManager, een tool die meerdere Fortinet-apparaten beheert en configureert. Door FortiManager als doelwit te kiezen, zouden aanvallers hele netwerken kunnen aanvallen in plaats van individuele systemen.
De onderzoekers vonden ook een aanwijzing dat de aanvallers hun tools mogelijk vanaf een thuisnetwerk hebben gelanceerd, mogelijk een thuiscomputer. Hoewel dit niet ongehoord is, is dit ongebruikelijk voor zulke grootschalige, gecoördineerde aanvallen en zou het kunnen betekenen dat de aanvallers hun activiteiten proberen te vermommen als normaal internetverkeer. Deze link suggereert een verband tussen de recente aanvallen en eerdere activiteiten die in juni werden waargenomen.
Volgens onderzoek van GreyNoise zijn pieken in dit soort cyberaanvallen vaak een waarschuwingssignaal. Het bedrijf ontdekte dat 80% van de vergelijkbare aanvallen op producten van een leverancier wordt gevolgd door een openbare bekendmaking van een nieuw beveiligingslek.
Een tijdlijn van GreyNoise illustreert dit verband visueel. De onderstaande grafiek laat zien dat witte stippen, die een piek in brute-force-activiteit vertegenwoordigen, consistent verschijnen vóór of tegelijkertijd met rode stippen, die een nieuwe kwetsbaarheid in de openbare veiligheid (CVE) vertegenwoordigen. Deze correlatie suggereert dat een plotselinge toename in aanvallersactiviteit een sterke indicator is dat er binnenkort een nieuw lek ontdekt of onthuld kan worden.
Met deze nieuwe activiteit wordt Fortinet-klanten geadviseerd alert te blijven en de tools van GreyNoise te gebruiken om kwaadaardige IP-adressen te identificeren en te blokkeren. Hackread.com blijft de situatie nauwlettend volgen op nieuwe ontwikkelingen.
HackRead
