一、 攻擊事件概述：一場有組織的協同暴力破解行動

根據資安威脅情報公司 GreyNoise 的最新報告，自 2025 年 8 月 3 日起，全球範圍內針對 Fortinet SSL VPN 設備的暴力破解攻擊流量出現了「顯著激增」。這場協同攻擊行動規模空前，在短短一天內，GreyNoise 就觀察到超過 780 個獨立的 IP 地址參與其中，創下該類攻擊在近月來的單日最高紀錄。這些惡意 IP 地址主要來自美國、加拿大、俄羅斯和荷蘭等地，而受攻擊的組織則分布於美國、香港、巴西、西班牙和日本等地區。

這並非一次偶然或隨機的攻擊，GreyNoise 的分析指出，這次攻擊行動具備高度的針對性與協同性。攻擊流量鎖定了 FortiOS 設定檔，顯示攻擊者對 Fortinet SSL VPN 的實施方式有精準的了解。

二、 攻擊模式與戰術演變分析

1. 第一波攻擊：持續性的暴力破解 在 8 月初，攻擊者發動了第一波攻擊，其特徵是使用一致的 TCP 特徵碼進行長時間的暴力破解，活動模式相對穩定。這表明攻擊者可能使用了固定的工具集，持續性地嘗試透過憑證填充（credential-stuffing）來猜測有效的使用者名稱和密碼。
2. 第二波攻擊：戰術性轉向 FortiManager 然而，自 8 月 5 日起，攻擊模式發生了關鍵性的轉變。攻擊者開始使用不同的 TCP 特徵碼，並將攻擊目標從 FortiOS 設定檔轉向 FortiManager FGFM 設定檔。這種戰術上的變化，顯示攻擊者可能擁有相同的基礎設施或工具集，並根據偵察結果靈活調整攻擊目標。這種高度的適應性與專業度，使得資安防護面臨更大的挑戰。

三、 企業應對與防禦建議

1. 啟用多因子認證（MFA）：多因子認證是抵禦暴力破解攻擊最有效的手段之一。即使攻擊者成功猜中密碼，沒有第二層驗證，也無法登入系統。所有 Fortinet SSL VPN 使用者都應強制啟用 MFA。
2. 更新至最新韌體版本：確保所有 Fortinet 設備（包括 FortiGate 和 FortiManager）都運行在最新的韌體版本上，並及時應用所有已知的安全修補程式。這能防堵潛在的已知漏洞被利用。
3. 限制登入嘗試與 IP 存取：配置 Fortinet 設備，以限制登入嘗試的次數和時間，並在達到設定閾值後鎖定帳戶或封鎖來源 IP。此外，可以根據地理位置或特定 IP 地址，限制對 VPN 服務的存取。
4. ​​​​​​​監控與威脅情報整合：企業應持續監控 Fortinet 設備的日誌，尋找異常登入嘗試或可疑活動。同時，可整合 GreyNoise 等威脅情報服務，及時阻擋已知的惡意 IP 地址。

四、 結論

這次針對 Fortinet SSL VPN 的大規模暴力破解攻擊，再次凸顯了遠端存取通道作為企業資安防護關鍵環節的重要性。攻擊者正不斷進化其工具與戰術，從被動掃描轉向有組織、有目標的協同攻擊。對於企業而言，僅僅依賴單一的防護機制已不足以應對當前的威脅。只有透過多層次、主動性的防禦策略，包括技術更新、多因子認證與持續監控，才能有效保護遠端工作的員工與企業的數位資產。

資料來源：https://thehackernews.com/2025/08/fortinet-ssl-vpns-hit-by-global-brute.html