供员工远端存取公司内部环境的SSL VPN系统，经常成为网路攻击活动锁定的主要目标，对方企图趁虚而入的部分，过去大多数VPN系统本身未修补的资安弱点，然而，也有可能是身分存取管理上的缺失。例如，今年4月，Fortinet针对防火墙用户提出警告，他们发现有人针对启用SSL VPN功能的设备发动攻击，如今再传针对该厂牌SSL VPN系统的攻击行动，但特别的是，攻击目标竟是同厂牌的网路管理平台。

威胁情报业者GreyNoise揭露自8月3日出现的攻击行动，骇客针对Fortinet SSL VPN系统而来，在一天内透过782个IP位址试图进行暴力破解。事隔两天，他们侦测到第二波攻击，攻击者使用完全不同的TCP行为特徵犯案，这种情况引起GreyNoise的注意并着手调查。

结果发现，虽然两波攻击都是对SSL VPN下手，试图进行暴力破解，但第一波攻击行动的目标，是防火墙作业系统FortiOS的组态文件，而第二波转向了网路管理平台FortiManager。这样的现象，代表攻击者很可能透过相同的基础设施或是作案工具，向不同的Fortinet装置下手。

当GreyNoise对第二波攻击的资料进行检视，他们找到更多线索。其中一台FortiGate设备曾在6月大规模攻击受害，此设备位于特定的网际网路服务供应商区域，呈现独特的用户端行为特徵。对此他们研判，骇客的暴力破解工具初期似乎是从家用网路环境进行测试或启动，但也有另一种可能的状况是，攻击行动运用了非法代理服务器（Residential Proxy）隐匿行蹤。