大规模DOS攻击利用280万个IP攻击VPN和防火墙登录

一场全球暴力攻击活动利用 280 万个 IP 地址积极瞄准边缘安全设备，大规包括来自 Palo Alto Networks 、攻击攻击Ivanti 和 SonicWall 等供应商的利用录 VPN、防火墙和网关。防火此次攻击于 2025 年 1 月首次被发现 ，墙登现已得到非营利性网络安全组织 Shadowserver Foundation 的大规证实
。

该攻击于 2025 年 1 月首次被发现，攻击攻击近几周攻击愈演愈烈
 ，利用录威胁行为者试图通过暴露的防火网络基础设施窃取登录凭据。

攻击概述

暴力攻击涉及反复尝试猜测用户名和密码 ，墙登直到找到有效凭证。大规一旦被攻陷，免费模板攻击攻击设备可能会被劫持，利用录用于未经授权的防火网络访问、数据窃取或集成到僵尸网络中 。墙登

据威胁情报公司 Shadowserver Foundation 称 ，此次攻击活动每天使用 280 万个唯一 IP ，其中超过 110 万个来自巴西，其次是土耳其、俄罗斯 、阿根廷、摩洛哥和墨西哥。

攻击 IP 分布在住宅代理网络和受感染的设备上，亿华云包括 MikroTik 、华为和思科路由器，可能是由大型僵尸网络精心策划的 。

攻击主要针对对远程访问至关重要的边缘设备，例如
：

VPN 网关（Palo Alto Networks GlobalProtect 、SonicWall NetExtender）防火墙（Ivanti 、Fortinet）路由器和物联网设备。

这些设备通常面向互联网，因此成为主要攻击目标。受感染的系统有可能成为进一步攻击的高防服务器代理节点 ，从而使威胁者能够将恶意流量伪装成合法用户活动。

Shadowserver 首席执行官 Piotr Kijewski 证实 ，这些攻击涉及实际的登录尝试，而不仅仅是扫描，这增加了凭证盗窃的可能性。

此次攻击活动遵循了暴力攻击不断升级的模式
。2024 年 4 月 ，思科报告了针对 Check Point
、Fortinet 和 Ubiquiti 的源码下载 VPN 的类似攻击 ，这些攻击通常通过 TOR 出口节点和代理服务进行路由 。

Ivanti（ CVE-2024-8190）和SonicWall（CVE-2025-23006 ）中的最新漏洞进一步凸显了风险，未修补的设备容易受到攻击 。

为了应对日益严重的威胁 ，五眼网络安全机构（CISA、NCSC 等）发布了指导意见，敦促制造商改进边缘设备的日志记录和默认安全性 。

他们的香港云服务器建议强调消除默认密码并确保固件支持实时威胁检测 。

随着暴力攻击的规模和复杂程度不断增长 ，组织必须优先保护边缘设备——通常是第一道防线。

每天有 280 万个 IP 被用作武器
，该活动凸显了 MFA、严格补丁管理和网络分段的迫切需求。Shadowserver 警告称，攻击可能会持续下去，并针对更多供应商和地区。