-
@ Cybersecurity & cyberwarfare
2025-02-11 14:47:14
2,8 Milioni di IP all’Attacco: Un Attacco Brute Force Colpisce VPN e Firewall
Un’operazione su vasta scala, che sfrutta ben 2,8 milioni di indirizzi IP, sta prendendo di mira dispositivi di sicurezza critici come VPN, firewall e gateway. I bersagli? Vendor di primo piano come Palo Alto Networks, Ivanti e SonicWall.
Rilevata per la prima volta a gennaio 2025 e confermata dalla Shadowserver Foundation, questa campagna ha subito un’accelerazione nelle ultime settimane. I cybercriminali stanno cercando di forzare credenziali di accesso su dispositivi esposti, mettendo a rischio la sicurezza di intere infrastrutture.
La tecnica dell’attacco
Il brute force non ha bisogno di presentazioni: tentativi ripetuti di login fino a trovare le giuste combinazioni di username e password. Se un dispositivo viene compromesso, può essere utilizzato per accesso non autorizzato alla rete, furto di dati o come nodo di un botnet.
Secondo Shadowserver, la campagna impiega 2,8 milioni di IP unici ogni giorno, con un’alta concentrazione in Brasile (1,1 milioni di IP), Turchia, Russia, Argentina, Marocco e Messico. Le fonti di questi attacchi sono per lo più proxy residenziali e dispositivi compromessi, come router MikroTik, Huawei e Cisco, segnale che dietro potrebbe esserci una botnet su vasta scala.
I dispositivi più colpiti
Gli attacchi prendono di mira le infrastrutture critiche per l’accesso remoto:
VPN gateways (Palo Alto Networks GlobalProtect, SonicWall NetExtender)
Firewall (Ivanti, Fortinet)
Router e dispositivi IoT
Essendo dispositivi esposti a internet, diventano bersagli privilegiati. Un sistema compromesso non è solo una vittima: può trasformarsi in un proxy per ulteriori attacchi, permettendo agli attori malevoli di occultare il traffico malevolo dietro connessioni apparentemente legittime.
Un’escalation senza sosta
Piotr Kijewski, CEO di Shadowserver, ha confermato che non si tratta di semplici scansioni, ma di tentativi di login reali, aumentando esponenzialmente il rischio di compromissione. Questo attacco segue un trend in crescita: nell’aprile 2024, Cisco aveva già segnalato campagne simili contro VPN di Check Point, Fortinet e Ubiquiti, spesso veicolate tramite TOR e proxy anonimi.
La situazione è aggravata da vulnerabilità critiche recentemente scoperte, come CVE-2024-8190 (Ivanti) e CVE-2025-23006 (SonicWall), che rendono i dispositivi non aggiornati ancora più facili da compromettere.
Le contromisure
Le principali raccomandazioni includono:
Eliminare le password di default
Implementare autenticazione a più fattori (MFA)
Migliorare la capacità di rilevamento delle minacce in tempo reale
Segmentare la rete per limitare i danni in caso di compromissione
Patch management rigoroso per eliminare vulnerabilità note
Conclusione
Questa campagna dimostra ancora una volta che gli attacchi brute force non sono un retaggio del passato, ma una minaccia attuale e in evoluzione. Shadowserver avverte che questi attacchi non si arresteranno presto e potrebbero coinvolgere ulteriori vendor e regioni.
Chiunque gestisca dispositivi di sicurezza esposti su internet deve agire subito: ignorare la minaccia significa diventare il prossimo bersaglio.
L'articolo 2,8 Milioni di IP all’Attacco: Un Attacco Brute Force Colpisce VPN e Firewall proviene da il blog della sicurezza informatica.
https://www.redhotcyber.com/wp-content/uploads/2025/02/immagine-2.jpg