Investigadores de ciberseguridad alertan sobre un "aumento significativo" en el tráfico de fuerza bruta dirigido a dispositivos SSL VPN de Fortinet. La actividad coordinada, según la firma de inteligencia de amenazas GreyNoise, fue observada el 3 de agosto de 2025, con más de 780 direcciones IP únicas participando.
Se han detectado hasta 56 direcciones IP únicas en las últimas 24 horas, todas clasificadas como maliciosas, con origen en Estados Unidos, Canadá, Rusia y Países Bajos. Los objetivos incluyen Estados Unidos, Hong Kong, Brasil, España y Japón.
Críticamente, el tráfico observado también estaba dirigido a nuestro perfil de FortiOS, lo que sugiere un ataque deliberado y preciso contra las SSL VPN de Fortinet. Esto no fue oportunista, fue una actividad focalizada.
GreyNoise identificó dos oleadas de ataque distintas: una, una actividad de fuerza bruta prolongada asociada a una única firma TCP que se mantuvo relativamente estable; y otra, un aumento repentino y concentrado de tráfico con una firma TCP diferente. A partir del 5 de agosto, el tráfico cambió de FortiOS a FortiManager, lo que indica un giro en el comportamiento de los atacantes.
Además, un análisis histórico de la firma TCP posterior al 5 de agosto reveló un pico anterior en junio con una firma de cliente única que se resolvió a un dispositivo FortiGate en un bloque ISP residencial gestionado por Pilot Fiber Inc. Esto sugiere que las herramientas de fuerza bruta podrían haber sido probadas desde una red doméstica o mediante un proxy residencial.
El hallazgo se produce en un contexto donde los picos de actividad maliciosa suelen preceder a la divulgación de nuevas vulnerabilidades (CVE) que afectan la misma tecnología en un plazo de seis semanas. GreyNoise señala que estos patrones son exclusivos de tecnologías empresariales de borde, como VPNs, firewalls y herramientas de acceso remoto.
The Hacker News se ha comunicado con Fortinet para obtener más comentarios, y actualizaremos la información si recibimos respuesta.
Acerca del autor
