要点速览:据 Shadowserver 基金会在 X 平台(原推特)上发布的一篇文章称,安全研究人员警告,自 1 月中下旬以来,针对边缘设备的 Web 登录暴力破解攻击疑似因僵尸网络而激增。Shadowserver 表示,此次威胁活动针对包括帕洛阿尔托网络(Palo Alto Networks)、SonicWall 和 Ivanti 等多家主要供应商的设备,每天有超过 280 万个源 IP 地址参与。研究人员称,观察到的威胁活动远不止扫描,还涉及实际的登录尝试。Shadowserver 首席执行官彼得・基耶夫斯基(Piotr Kijewski)通过电子邮件表示:“我们不知道具体谁是攻击目标,我们只能观察到针对我们自己蜜罐的攻击。” 深度洞察:此次威胁活动再次提醒人们,边缘设备的安全问题一直令人担忧,国家支持的威胁组织越来越多地将其作为间谍活动和其他恶意活动的目标。分析师称,为了实现其主要功能,边缘设备通常暴露在互联网上。高德纳(Gartner)副总裁分析师查理・温克利斯(Charlie Winckless)通过电子邮件告诉《网络安全洞察》(Cybersecurity Dive):“它们还经常运行一些必须暴露的服务(如 VPN),而这些服务也难免存在漏洞,容易受到远程攻击。”即使设备已打补丁,对于缺乏多因素身份验证以及基于上下文控制的 VPN,仍存在凭证填充攻击的风险。美国官员正在密切关注这一情况。美国网络安全与基础设施安全局(CISA)的一位发言人通过电子邮件表示:“CISA 正在与 Shadowserver 及其他相关合作伙伴就边缘设备的攻击路径进行沟通。如有必要,我们将通知任何有风险的实体,并与我们的合作伙伴协调提供指导。”在这些暴力破解攻击背后,超过 110 万个 IP 地址位于巴西,但他们也注意到大量攻击源集中在美国和加拿大。1 月下旬,攻击者盯上了 SonicWall SMA 1000 系列设备中的一个关键漏洞。该漏洞编号为 CVE – 2025 – 23006,使得能够访问内部接口的攻击者可以接管设备。
