E’ in corso sin da gennaio 2025 un ennesimo attacco brute-force su vasta scala che sfrutta ben 2,8 milioni di indirizzi IP, con obiettivo tutti i dispositivi di sicurezza critici come VPN, firewall e gateway di vendor di primo piano come Palo Alto Networks, Ivanti e SonicWall, ma che interessa un pò tutti indistintamente. Confermata dalla Shadowserver Foundation, nelle ultime settimane ha subito un incremento esponenziale, tanto che anche il nostro server ne sta risentendo.
I cybercriminali cercano di forzare credenziali di accesso su dispositivi esposti, mettendo a rischio la sicurezza di intere infrastrutture, e lo fanno con degli strumenti che automatizzano il processo, dei bot o degli script più o meno evoluti che effettuano tentativi ripetuti di login fino a trovare le giuste combinazioni di username e password.
Se un dispositivo viene compromesso, può essere utilizzato per accesso non autorizzato alla rete, furto di dati o come nodo di un botnet.
Secondo Shadowserver, la campagna impiega 2,8 milioni di IP unici ogni giorno, con un’alta concentrazione in Brasile (1,1 milioni di IP), Turchia, Russia, Argentina, Marocco e Messico. Le fonti di questi attacchi sono per lo più proxy residenziali e dispositivi compromessi, come router MikroTik, Huawei e Cisco, segnale che dietro potrebbe esserci una botnet su vasta scala.
Gli attacchi prendono di mira le infrastrutture critiche per l’accesso remoto: VPN gateways (Palo Alto Networks GlobalProtect, SonicWall NetExtender), Firewall (Ivanti, Fortinet) e Router e dispositivi IoT.
Essendo dispositivi esposti a internet, diventano bersagli privilegiati. Un sistema compromesso non è solo una vittima: può trasformarsi in un proxy per ulteriori attacchi, permettendo agli attori malevoli di occultare il traffico malevolo dietro connessioni apparentemente legittime.
Piotr Kijewski, CEO di Shadowserver, ha confermato che non si tratta di semplici scansioni, ma di tentativi di login reali, aumentando esponenzialmente il rischio di compromissione. Questo attacco segue un trend in crescita: nell’aprile 2024, Cisco aveva già segnalato campagne simili contro VPN di Check Point, Fortinet e Ubiquiti, spesso veicolate tramite TOR e proxy anonimi.
La situazione è aggravata da vulnerabilità critiche recentemente scoperte, come CVE-2024-8190 (Ivanti) e CVE-2025-23006 (SonicWall), che rendono i dispositivi non aggiornati ancora più facili da compromettere.
Questa campagna dimostra ancora una volta che gli attacchi brute force non sono un retaggio del passato, ma una minaccia attuale e in evoluzione. Questi attacchi sono sempre esistiti e non si arresteranno presto e e insieme ad altri strumenti stanno diventando una attività molto diffusa nel mondo degli affari illeciti, oltre che arma efficace per dittature e terroristi.
Le principali raccomandazioni includono:
– eliminare le password di default;
– implementare autenticazione a più fattori (MFA);
– migliorare la capacità di rilevamento delle minacce in tempo reale;
– segmentare la rete per limitare i danni in caso di compromissione;
– patch management rigoroso per eliminare vulnerabilità note.
Nel piccolo del mio server Debian ho implementato una politica più severa cambiando le porte di default dei vari servizi, ho rafforzato le difese con i vati UFW, ClamAV, Fail2Ban, SpamAssassin, configurato in modo più preciso tutti i software che comunicano con l’esterno, e altro ancora.
Chiunque gestisca dispositivi di sicurezza esposti su internet deve agire subito: ignorare la minaccia significa diventare il prossimo bersaglio.
