Source: GreyNoise — Dans un billet d’analyse, GreyNoise signale un pic significatif de tentatives de bruteforce visant les VPN SSL Fortinet, avec plus de 780 IPs uniques observées en une seule journée, le volume le plus élevé depuis plusieurs mois.

Deux vagues d’attaque ont été identifiées: une campagne continue et une poussée concentrée débutée le 5 août, chacune présentant des signatures TCP distinctes. À l’aide du fingerprinting JA4+, les chercheurs ont suivi une évolution des cibles allant de FortiOS vers FGFM (FortiManager).

L’analyse mentionne des indicateurs techniques précis, dont des adresses IP impliquées (ex. 31.206.51.194, 23.120.100.230) et un possible lien avec un proxy résidentiel ou des tests via un FortiGate (104.129.137.162) dans un bloc de Pilot Fiber Inc. Un regroupement des signatures TCP a permis de distinguer les deux vagues et leurs comportements.

Selon les observations historiques de GreyNoise, ce type de pic est fréquemment suivi de la divulgation de nouvelles vulnérabilités Fortinet dans les six semaines (80% des cas similaires ont été suivis de publications de CVE).

IOCs observés:

  • IPs: 31.206.51.194; 23.120.100.230; 104.129.137.162 (FortiGate, bloc Pilot Fiber Inc.)
  • Services/protocoles visés: FortiOS; FGFM (FortiManager)

TTPs mis en évidence:

  • Brute-force ciblant des VPN SSL Fortinet 🔐
  • Deux vagues avec signatures TCP distinctes et clustering de comportements
  • Changement de cible de FortiOS vers FortiManager (FGFM)
  • Usage possible d’un proxy résidentiel à travers un équipement FortiGate

Type d’article: analyse de menace; but principal: signaler un pic d’activité et documenter les indicateurs et modes opératoires observés.

🧠 TTPs et IOCs détectés

TTPs

[‘Brute-force ciblant des VPN SSL Fortinet’, ‘Deux vagues avec signatures TCP distinctes et clustering de comportements’, ‘Changement de cible de FortiOS vers FortiManager (FGFM)’, ‘Usage possible d’un proxy résidentiel à travers un équipement FortiGate’]

IOCs

[‘31.206.51.194’, ‘23.120.100.230’, ‘104.129.137.162’]

🔗 Source originale : https://www.greynoise.io/blog/vulnerability-fortinet-vpn-bruteforce-spike

🖴 Archive : https://web.archive.org/web/20250812193151/https://www.greynoise.io/blog/vulnerability-fortinet-vpn-bruteforce-spike