暴力破解攻擊是指威脅者嘗試使用大量用戶名和密碼反復登錄一個賬戶或設備，直到找到正確的組合。一旦他們獲取到正確的憑證，就可以利用這些憑證劫持設備或訪問網絡。

據悉，一場動用了近 280 萬個 IP 地址的大規模暴力破解密碼攻擊正在進行，該攻擊試圖驗證包括Palo Alto Networks，Ivanti和Sonicwall在內的眾多網絡設備的登錄憑證。

根據威脅監控平臺Shadowserver基金會的說法，自上個月以來，一直有暴力破解攻擊在進行，每天使用近 280 萬個源 IP 地址來實施這些攻擊。這 110 萬人中，大多數來自巴西，其次是土耳其、俄羅斯、阿根廷、摩洛哥和墨西哥，但參與該活動的原籍國數量總體上非常多。

這些邊緣安全設備，如防火墻、vpn、網關和其他安全設備，通常暴露在互聯網上以方便遠程訪問。進行這些攻擊的設備主要是MikroTik、Cisco

據Shadowserver基金會證實，該活動已經持續了一段時間，但最近捕捉到數量大幅增加。據了解，攻擊IP地址分布在許多網絡和自治系統中，可能是僵尸網絡或與住宅代理網絡相關的某些操作。

住宅代理是分配給互聯網服務提供商（isp）的消費者的IP地址，這使得它們在網絡犯罪、抓取、繞過地理限制、廣告驗證、倒賣球鞋或門票等方面受到高度追捧。

這些代理通過住宅網絡路由互聯網流量，使用戶看起來像是普通的家庭用戶，而不是機器人、數據抓取器或黑客。

網關設備（例如那些被此活動作為目標的設備）可以用作住宅代理操作中的代理出口節點，通過企業網絡路由惡意流量。這些節點被認為是“高質量的”，因為有良好的聲譽，攻擊更難以檢測和阻止。

保護邊緣設備免受強制攻擊的步驟包括將默認管理密碼更改為強大且唯一的密碼，實施多因素身份驗證（MFA），使用受信任ip的允許列表，以及禁用不需要的web管理界面。

最后，在這些設備上應用最新的固件和安全更新對于消除漏洞至關重要，威脅者可以利用這些漏洞獲得初始訪問權限。

去年4月，Cisco就針對Cisco、CheckPoint、Fortinet、SonicWall和Ubiquiti等全球設備的大規模憑證強制破解活動發出了警告。12月，Citrix還警告了針對Citrix NetScaler設備的密碼噴霧攻擊。

參考及來源：https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-uses-28-million-ips-to-target-vpn-devices/