邊緣系統淪為駭客漏洞攻擊大宗, LLM 推論伺服器也成例行性掃描目標
根據威脅情報業者 GreyNoise 發布的《2026 State of the Edge Report》報告指出,2025 年下半年,包括 VPN、路由器與遠端存取服務等連網邊緣系統持續承受最嚴重的漏洞攻擊。在 162 天的期間裡,該公司經由 80 多國的感測器共記錄到 29.7 億次的惡意連線,平均每秒出現 212 次的惡意活動。
該報告再再顯示出邊緣基礎設施已然成為主要的攻擊目標,其中企業級 VPN 平台(包括 Palo Alto Networks、Cisco 與 Fortinet)共經歷了數百萬次的惡意連線。MikroTik 與 ASUS 等消費級路由器也持續遭到探測,遠端桌面服務同樣出現大量攻擊活動。
由於 SSH 遠端加密連線活動的規模遠超其他所有通訊協定,因此光是 22 埠在觀測期間就出現超過 6.39 億次連線。路由器管理介面也持續受到關注,其中針對 MikroTik 服務的連線達數千萬次。
由於入侵 VPN 可直接取得內部網路存取權,益使得邊緣設備成為全網際網路漏洞攻擊活動的核心。這方面的攻擊活動幾乎以 Palo Alto 企業級 VPN 平台 GlobalProtect 為主要攻擊目標,共紀錄到 1,670 萬次連線,比 Cisco 加上 Fortinet 的 SSL VPN 總流量還高。相關惡意活動包括大規模登入掃描,以及針對 CVE-2020-2034 漏洞的嘗試性攻擊。該漏洞為 PAN-OS 的注入式缺陷,至今仍被濫用。
惡意流量高度集中主機代管服務供應商,駭客規避基於 IP 來源的防護機制
其他值得注意的攻擊趨勢,還包括惡意流量高度集中於少數幾家主機代管服務供應商。其中,UCLOUD 產生了 3.92 億次惡意連線,占所有觀測活動的 14%,其流量甚至超過 AWS 與 Azure 的總和。雖然排名前五的自治系統(AS)約占全部惡意連線的 30%,但 ASN 層級基礎設施集中化現象,反而能對惡意活動進行更全面的粗粒度封鎖。
但針對美國遠端桌面服務的憑證噴灑(Credential sprayin)攻擊,在 72 天內從 2,000 個參與 IP 位址擴大到 30 萬個。其中 73% 被分類為住宅型 IP,主要位於巴西與阿根廷。由於許多 IP 過去沒有任何惡意紀錄,因而降低了地理封鎖、信譽評分與靜態 IP 封鎖名單的有效性,而且每個來源只需產生極少量流量,便可將憑證嘗試分散到數十萬個節點上。
同樣的,超過一半的遠端程式碼執行攻擊流量來自先前未曾記錄過的 IP 位址。資料隱碼(SQL Injection)與認證規避攻擊活動也呈現類似模式,其中相當比例的流量來自新建的基礎設施。最後,LLM 推論伺服器已成為當前駭客例行性惡意掃描的對象。在四個月期間內,有數萬次針對 Ollama 伺服器的惡意連線,其中包括一波集中化惡意枚舉(enumeration)行動,共探測了數十個模型端點。
(首圖來源:pixabay)