2,8 Milioni di IP all’Attacco: Un Attacco Brute Force Colpisce VPN e Firewall

Luca Galuppi : 11 Febbraio 2025 15:47

Un’operazione su vasta scala, che sfrutta ben 2,8 milioni di indirizzi IP, sta prendendo di mira dispositivi di sicurezza critici come VPN, firewall e gateway. I bersagli? Vendor di primo piano come Palo Alto Networks, Ivanti e SonicWall.

Rilevata per la prima volta a gennaio 2025 e confermata dalla Shadowserver Foundation, questa campagna ha subito un’accelerazione nelle ultime settimane. I cybercriminali stanno cercando di forzare credenziali di accesso su dispositivi esposti, mettendo a rischio la sicurezza di intere infrastrutture.

La tecnica dell’attacco

Il brute force non ha bisogno di presentazioni: tentativi ripetuti di login fino a trovare le giuste combinazioni di username e password. Se un dispositivo viene compromesso, può essere utilizzato per accesso non autorizzato alla rete, furto di dati o come nodo di un botnet.

Secondo Shadowserver, la campagna impiega 2,8 milioni di IP unici ogni giorno, con un’alta concentrazione in Brasile (1,1 milioni di IP), Turchia, Russia, Argentina, Marocco e Messico. Le fonti di questi attacchi sono per lo più proxy residenziali e dispositivi compromessi, come router MikroTik, Huawei e Cisco, segnale che dietro potrebbe esserci una botnet su vasta scala.

I dispositivi più colpiti

Gli attacchi prendono di mira le infrastrutture critiche per l’accesso remoto:

• VPN gateways (Palo Alto Networks GlobalProtect, SonicWall NetExtender)
• Firewall (Ivanti, Fortinet)
• Router e dispositivi IoT

Essendo dispositivi esposti a internet, diventano bersagli privilegiati. Un sistema compromesso non è solo una vittima: può trasformarsi in un proxy per ulteriori attacchi, permettendo agli attori malevoli di occultare il traffico malevolo dietro connessioni apparentemente legittime.

Un’escalation senza sosta

Piotr Kijewski, CEO di Shadowserver, ha confermato che non si tratta di semplici scansioni, ma di tentativi di login reali, aumentando esponenzialmente il rischio di compromissione. Questo attacco segue un trend in crescita: nell’aprile 2024, Cisco aveva già segnalato campagne simili contro VPN di Check Point, Fortinet e Ubiquiti, spesso veicolate tramite TOR e proxy anonimi.

La situazione è aggravata da vulnerabilità critiche recentemente scoperte, come CVE-2024-8190 (Ivanti) e CVE-2025-23006 (SonicWall), che rendono i dispositivi non aggiornati ancora più facili da compromettere.

Le contromisure

Le principali raccomandazioni includono:

• Eliminare le password di default
• Implementare autenticazione a più fattori (MFA)
• Migliorare la capacità di rilevamento delle minacce in tempo reale
• Segmentare la rete per limitare i danni in caso di compromissione
• Patch management rigoroso per eliminare vulnerabilità note

Conclusione

Questa campagna dimostra ancora una volta che gli attacchi brute force non sono un retaggio del passato, ma una minaccia attuale e in evoluzione. Shadowserver avverte che questi attacchi non si arresteranno presto e potrebbero coinvolgere ulteriori vendor e regioni.

Chiunque gestisca dispositivi di sicurezza esposti su internet deve agire subito: ignorare la minaccia significa diventare il prossimo bersaglio.

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Lista degli articoli
Visita il sito web dell'autore