大规模DOS攻击利用280万个IP攻击VPN和防火墙登录

一场全球暴力攻击活动利用 280 万个 IP 地址积极瞄准边缘安全设备，大规包括来自 Palo Alto Networks 、攻击攻击Ivanti 和 SonicWall 等供应商的利用录 VPN、防火墙和网关  。防火此次攻击于 2025 年 1 月首次被发现 ，墙登现已得到非营利性网络安全组织 Shadowserver Foundation 的大规证实。

该攻击于 2025 年 1 月首次被发现，攻击攻击近几周攻击愈演愈烈 ，利用录威胁行为者试图通过暴露的防火网络基础设施窃取登录凭据。

攻击概述

暴力攻击涉及反复尝试猜测用户名和密码，墙登直到找到有效凭证。大规一旦被攻陷，云计算攻击攻击设备可能会被劫持，利用录用于未经授权的防火网络访问 、数据窃取或集成到僵尸网络中。墙登

据威胁情报公司 Shadowserver Foundation 称 ，此次攻击活动每天使用 280 万个唯一 IP，其中超过 110 万个来自巴西，其次是土耳其 、俄罗斯、阿根廷、摩洛哥和墨西哥。

攻击 IP 分布在住宅代理网络和受感染的设备上，源码库包括 MikroTik 、华为和思科路由器 ，可能是由大型僵尸网络精心策划的
。

攻击主要针对对远程访问至关重要的边缘设备 ，例如 ：

VPN 网关（Palo Alto Networks GlobalProtect、SonicWall NetExtender）防火墙（Ivanti 、Fortinet）路由器和物联网设备。

这些设备通常面向互联网，因此成为主要攻击目标
。受感染的系统有可能成为进一步攻击的免费模板代理节点，从而使威胁者能够将恶意流量伪装成合法用户活动 。

Shadowserver 首席执行官 Piotr Kijewski 证实 ，这些攻击涉及实际的登录尝试，而不仅仅是扫描 ，这增加了凭证盗窃的可能性 。

此次攻击活动遵循了暴力攻击不断升级的模式。2024 年 4 月，思科报告了针对 Check Point、Fortinet 和 Ubiquiti 的模板下载 VPN 的类似攻击，这些攻击通常通过 TOR 出口节点和代理服务进行路由。

Ivanti（ CVE-2024-8190）和SonicWall（CVE-2025-23006 ）中的最新漏洞进一步凸显了风险，未修补的设备容易受到攻击。

为了应对日益严重的威胁 ，五眼网络安全机构（CISA、NCSC 等）发布了指导意见，敦促制造商改进边缘设备的日志记录和默认安全性 。

他们的亿华云建议强调消除默认密码并确保固件支持实时威胁检测 。

随着暴力攻击的规模和复杂程度不断增长，组织必须优先保护边缘设备——通常是第一道防线。

每天有 280 万个 IP 被用作武器，该活动凸显了 MFA
、严格补丁管理和网络分段的迫切需求 。Shadowserver 警告称 ，攻击可能会持续下去 
，并针对更多供应商和地区。