Investigadores de ciberseguridad advierten de un aumento significativo en el tráfico de fuerza bruta dirigido a dispositivos VPN SSL de Fortinet. La actividad coordinada, según la firma de inteligencia de amenazas GreyNoise, se observó el 3 de agosto de 2025, con más de 780 direcciones IP únicas participando en la operación.
Todas las direcciones IP se han clasificado como maliciosas, y las IP provienen de Estados Unidos, Canadá, Rusia y Países Bajos. Los objetivos de la actividad de fuerza bruta incluyen Estados Unidos, Hong Kong, Brasil, España y Japón.
"El tráfico observado también tenía como objetivo nuestro perfil FortiOS, lo que sugiere un ataque deliberado y preciso a las VPN SSL de Fortinet", declaró GreyNoise. "No se trató de una actividad oportunista, sino de una actividad focalizada".
La compañía también señaló que identificó dos oleadas de ataques distintas antes y después del 5 de agosto: una, una actividad prolongada de fuerza bruta vinculada a una única firma TCP que se mantuvo relativamente estable a lo largo del tiempo, y la otra, que implicó una ráfaga repentina y concentrada de tráfico con una firma TCP diferente.
"Si bien el tráfico del 3 de agosto tuvo como objetivo el perfil de FortiOS, el tráfico registrado con firmas TCP y de cliente (una metafirma) a partir del 5 de agosto no afectó a FortiOS", señaló la compañía. "En cambio, afectó de forma constante a nuestro FortiManager".
Esto indicó un cambio en el comportamiento del atacante: posiblemente la misma infraestructura o conjunto de herramientas se está migrando a un nuevo servicio orientado a Fortinet.
Además, un análisis más profundo de los datos históricos asociados con la huella TCP posterior al 5 de agosto reveló un pico anterior en junio con una firma de cliente única que se resolvió en un dispositivo FortiGate en un bloque de ISP residencial administrado por Pilot Fiber Inc. Esto plantea la posibilidad de que las herramientas de fuerza bruta se probaran o lanzaran inicialmente desde una red doméstica. Una hipótesis alternativa es el uso de un proxy residencial.
Este desarrollo se produce en el contexto de hallazgos que indican que los picos de actividad maliciosa suelen ir seguidos de la divulgación de un nuevo CVE que afecta a la misma tecnología en un plazo de seis semanas. "Estos patrones eran exclusivos de las tecnologías de borde empresarial como las VPN, los firewalls y las herramientas de acceso remoto, los mismos tipos de sistemas que son cada vez más atacados por actores de amenazas avanzadas", señaló la compañía.
PLUS: Fortinet advierte sobre la vulnerabilidad de FortiSIEM (CVE-2025-25256) con código de exploit en el bloqueo
Fortinet está alertando a los clientes de un defecto crítico de seguridad en FortiSIEM, para el cual dijo que existe una exploit público. La vulnerabilidad, rastreada como CVE-2025-25256, tiene una puntuación CVSS de 9.8.
"Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando OS ('inyección de comandos OS') [CWE-78] en FortiSIEM puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes de CLI diseñadas", dijo la compañía.
Las siguientes versiones se ven afectadas por el defecto:
- FortiSIEM 6.1, 6.2, 6.3, 6.4, 6.5, 6.6 (Migrate to a fixed release)
- FortiSIEM 6.7.0 through 6.7.9 (Upgrade to 6.7.10 or above)
- FortiSIEM 7.0.0 through 7.0.3 (Upgrade to 7.0.4 or above)
- FortiSIEM 7.1.0 through 7.1.7 (Upgrade to 7.1.8 or above)
- FortiSIEM 7.2.0 through 7.2.5 (Upgrade to 7.2.6 or above)
- FortiSIEM 7.3.0 through 7.3.1 (Upgrade to 7.3.2 or above)
- FortiSIEM 7.4 (Not affected)
Fortinet reconoció que "existe un exploit práctico para esta vulnerabilidad y se encontró en la naturaleza", pero no compartió ningún detalle adicional sobre el mismo.
Fuente: THN