15/08/25
Компания GreyNoise заметила две мощные волны атак на устройства Fortinet в начале августа 2025 года, пишет Securitylab. Сначала — целенаправленный перебор учётных данных на Fortinet SSL VPN 3 августа, затем — резкий сдвиг на FortiManager уже 5 августа, с новой сигнатурой трафика. Исследователи предупреждают: такие всплески активности в 80% случаев предшествуют публикации критических уязвимостей.
По данным GreyNoise, всплеск 3 августа сопровождался попытками входа по словарю на SSL VPN FortiOS. Сетевой отпечаток JA4+, использующий TLS-фингерпринтинг для классификации зашифрованного трафика, указал на возможное совпадение с активностью, зафиксированной ещё в июне. Тогда трафик исходил с IP-адреса домашнего сегмента, связанного с провайдером Pilot Fiber Inc. Хотя это не доказывает конкретную атрибуцию, исследователи предполагают повторное использование одного и того же инструментария или инфраструктуры.
5 августа наблюдалась уже другая картина. Атакующий переключился с SSL VPN на FortiManager и начал взламывать FGFM-сервис, входящий в состав системы управления Fortinet. Несмотря на то, что фильтры GreyNoise продолжали срабатывать на старый тег «Fortinet SSL VPN Bruteforcer», сама сигнатура трафика изменилась. Новый поток больше не совпадал с FortiOS, а точно соответствовал профилю FortiManager — FGFM. Это указывает либо на смену цели при использовании того же инструментария, либо на продолжение кампании с новым фокусом.
GreyNoise подчёркивает: такие сканирования обычно не являются исследовательскими, так как исследовательские активности широкие по охвату, умеренные по частоте и не включают перебор паролей. В данном случае активность выглядит как подготовительный этап перед попыткой эксплуатации. Целью может быть не просто обнаружение доступных конечных точек, а предварительная разведка и оценка ценности потенциальных целей, с последующей атакой по реальной уязвимости, пока ещё не раскрытой публично.
Согласно статистике GreyNoise, зафиксированные всплески активности, особенно помеченные данным тегом, имеют высокую корреляцию с будущими CVE в продуктах Fortinet. Большинство таких инцидентов заканчиваются публикацией уязвимости в течение шести недель. Поэтому защитникам не стоит списывать происходящее на попытки эксплуатации давно закрытых багов. Напротив — сейчас самое время укрепить защиту, особенно на внешних интерфейсах, и ограничить доступ к административным панелям по IP.
GreyNoise также опубликовала список IP-адресов, участвовавших в обеих волнах атак, и рекомендует блокировать их на всех устройствах Fortinet. По мнению аналитиков, за этими адресами стоит одна и та же группа, которая проводит адаптивное тестирование и меняет тактику в реальном времени. В связи с этим компании, использующие FortiGate, FortiManager или SSL VPN Fortinet , должны срочно усилить политику аутентификации, включить защиту от перебора паролей, применить rate-limiting и по возможности ограничить доступ к интерфейсам управления только через доверенные VPN или белые списки IP.
