News
Analyse von Greynoise

Zahl der Brute-Force-Angriffe auf Fortinet nimmt zu

Uhr
von Filip Sinjakovic und jor

Der Cybersicherheitsanbieter Greynoise hat einen merklichen Anstieg von Brute-Force-Angriffen auf Fortinet SSL VPN festgestellt. So hat das Unternehmen über 780 IP-Adressen registriert, von denen ein schädlicher Datenverkehr ausgeht.

(Source: timitinej / stock.adobe.com)
(Source: timitinej / stock.adobe.com)

Der Cybersicherheitsanbieter Greynoise hat am 3. August 2025 einen markanten Anstieg von Brute-Force-Angriffen gegen Fortinet SSL VPN beobachtet. Über 780 eindeutige IP-Adressen hätten an diesem Tag den entsprechenden Alarm ausgelöst, was die höchste Anzahl der vergangenen Monate darstelle, teilt das Unternehmen mit. Demnach zielen diese Angriffe gezielt auf FortiOS ab und richteten sich in den vergangenen 90 Tagen vor allem gegen Systeme in Hongkong und Brasilien.

Dabei seien die Angriffe in zwei Wellen innerhalb eines zweiwöchigen Zeitraums erfolgt. Die erste Welle habe eine lang andauernde Aktivität mit stabiler TCP-Signatur aufgewiesen, während die zweite Welle am 5. August 2025 mit einer anderen TCP-Signatur und einem konzentrierten Datenverkehr begonnen habe, heisst es weiter.

Verschiebung der Angriffe auf Fortimanager

Mit der zweiten Welle habe sich das Ziel der Angriffe von FortiOS auf das Fortimanager-FGFM-Profil verlagert, dabei aber weiterhin den Fortinet-SSL-VPN-Bruteforcer-Tag von Greynoise ausgelöst. Dies deute auf eine Änderung im Verhalten der Bedrohungsakteure hin, die aber vermutlich die gleiche Infrastruktur oder dasselbe Toolset verwenden. Laut Greynoise suggerieren frühere Aufzeichnungen zu dieser TCP-Signatur Bezüge zu einem Anstieg der Brute-Force-Angriffe im Juni, der auf eine IP-Adresse in einem privaten ISP-Block von Pilot Fiber zurückgeht.

Diese IP-Adresse sei zwar nicht als privater Proxy erkannt worden, tauchte aber in der Malware-Datenbank AbuseDB auf und wies Bezüge zur TCP-Signatur auf, die Greynoise bei der ersten Brute-Force-Angriffswelle gegen Fortinet SSL VPN feststellte. Dies mache eine Wiederverwendung von Tools und Infrastrukturen durch die Bedrohungsakteure wahrscheinlicher, heisst es weiter. Generell halten die Brute-Force-Angriffe gegen Fortinet SSL VPN an und entwickeln sich weiter, wobei Anstiege oft neue Schwachstellen ankündigen.

 

Im Januar 2025 hat die Hackergruppe "Belsen Group" sensible Daten von über 15'000 FortiGate-Geräten veröffentlicht, die laut Experten erhebliche Risiken für die Netzwerksicherheit darstellen. Die Veröffentlichung erfolgte offenbar, um die Bekanntheit der Gruppe in der Cyberkriminalitätsszene zu steigern.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Zum Thema
Tags
Fortinet
cyberangriff
Cybercrime
Cybersecurity
Webcode
gzC6UpMJ
Back to top