一场全球暴力攻击活动利用 280 万个 IP 地址积极瞄准边缘安全设备，大规包括来自 Palo Alto Networks 、攻击攻击Ivanti 和 SonicWall 等供应商的利用录 VPN、防火墙和网关
。防火此次攻击于 2025 年 1 月首次被发现 ，墙登现已得到非营利性网络安全组织 Shadowserver Foundation 的大规证实。

该攻击于 2025 年 1 月首次被发现，攻击攻击近几周攻击愈演愈烈 ，利用录威胁行为者试图通过暴露的防火网络基础设施窃取登录凭据。

暴力攻击涉及反复尝试猜测用户名和密码 ，墙登直到找到有效凭证
。大规一旦被攻陷 ，高防服务器攻击攻击设备可能会被劫持，利用录用于未经授权的防火网络访问、数据窃取或集成到僵尸网络中。墙登

据威胁情报公司 Shadowserver Foundation 称 ，此次攻击活动每天使用 280 万个唯一 IP ，其中超过 110 万个来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥。

攻击 IP 分布在住宅代理网络和受感染的设备上 ，建站模板包括 MikroTik
、华为和思科路由器 ，可能是由大型僵尸网络精心策划的 。

攻击主要针对对远程访问至关重要的边缘设备，例如 ：

这些设备通常面向互联网 
，因此成为主要攻击目标。受感染的系统有可能成为进一步攻击的云计算代理节点，从而使威胁者能够将恶意流量伪装成合法用户活动。

Shadowserver 首席执行官 Piotr Kijewski 证实，这些攻击涉及实际的登录尝试，而不仅仅是扫描，这增加了凭证盗窃的可能性。

此次攻击活动遵循了暴力攻击不断升级的模式。2024 年 4 月，思科报告了针对 Check Point 、Fortinet 和 Ubiquiti 的源码库 VPN 的类似攻击 ，这些攻击通常通过 TOR 出口节点和代理服务进行路由。

Ivanti（ CVE-2024-8190）和SonicWall（CVE-2025-23006 ）中的最新漏洞进一步凸显了风险，未修补的设备容易受到攻击。

为了应对日益严重的威胁，五眼网络安全机构（CISA 、NCSC 等）发布了指导意见 ，敦促制造商改进边缘设备的日志记录和默认安全性。

他们的亿华云建议强调消除默认密码并确保固件支持实时威胁检测 。

随着暴力攻击的规模和复杂程度不断增长 ，组织必须优先保护边缘设备——通常是第一道防线 。

每天有 280 万个 IP 被用作武器，该活动凸显了 MFA、严格补丁管理和网络分段的迫切需求。Shadowserver 警告称，攻击可能会持续下去，并针对更多供应商和地区 。