Cisco Talos hoiatas sel nädalal VPN-teenustele, SSH-teenustele ja veebirakenduste autentimisliidestele suunatud jõhkra jõu rünnakute massilise kasvu eest.
Ettevõte kirjeldas oma nõuandes rünnakuid kui üldiste ja kehtivate kasutajanimede kasutamist ohvrikeskkondadele esmase juurdepääsu proovimiseks. Nende rünnakute sihtmärgid näivad olevat juhuslikud ja valimatud ning ei piirdu ühegi tööstussektori või geograafiaga, Cisco ütles.
Ettevõte tuvastas, et rünnakud mõjutasid organisatsioone, mis kasutavad Cisco Secure Firewall VPN-i seadmeid ja tehnoloogiaid mitmelt teiselt müüjalt, sealhulgas Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik ja Draytek.
Rünnakute maht võib suureneda
"Sõltuvalt sihtkeskkonnast võivad seda tüüpi edukad rünnakud põhjustada volitamata juurdepääsu võrgule, konto lukustamist või teenuse keelamise tingimusi," selgitati Cisco Talose avalduses. Müüja märkis, et rünnakute kasv algas umbes 28. märtsil ja hoiatas rünnakute arvu tõenäolise suurenemise eest lähipäevil.
Cisco ei vastanud kohe Dark Readingi päringule, mis puudutas rünnakumahtude äkilist plahvatuslikku kasvu ja seda, kas tegemist on ühe või mitme ohus osaleja tööga. Selle nõuanded tuvastasid ründeliikluse lähte-IP-aadressid Tori, Nexuse puhverserveri, Space Proxiesi ja BigMama puhverserveri puhverserveriteenustena.
Cisco nõuanded on seotud kompromissi näitajatega, sealhulgas rünnakutega seotud IP-aadresside ja mandaatidega, märkides samas ka nende IP-aadresside potentsiaali aja jooksul muutuda.
Uus rünnakute laine on kooskõlas ohus osalejate seas kasvav huvi VPN-ides ja muudes tehnoloogiates, mida organisatsioonid on viimastel aastatel kasutusele võtnud, et toetada töötajate kaugjuurdepääsu nõudeid. Ründajatel – sealhulgas rahvusriikide osalejatel – on raevukalt sihitud nende toodete haavatavused, et proovida ja tungida ettevõtete võrkudesse, ajendades mitut nõuannet sellistelt nagu USA Küberturvalisuse ja infrastruktuuri turvalisuse amet (CISA), FBI, National Security Agency (NSA)Ja teised.
VPN-i haavatavuste arv kasvab plahvatuslikult
Securini uuring näitas haavatavuste arvu, mille teadlased, ohus osalejad ja müüjad ise on VPN-toodetes avastanud. suurenenud 875% 2020. ja 2024. aasta vahel. Nad märkisid, kuidas 147 viga kaheksa erineva müüja tootes kasvas peaaegu 1,800 veani 78 tootes. Securin leidis ka, et ründajad on relvastanud 204 seni avalikustatud haavatavusest. Sellest olid arenenud püsivate ohtude (APT) rühmad, nagu Sandworm, APT32, APT33 ja Fox Kitten, ära kasutanud 26 viga, samas kui lunavararühmad, nagu REvil ja Sodinokibi, kasutasid ära veel 16 viga.
Cisco uusim nõuanne näib olevat tulenenud mitmetest aruannetest, mille ettevõte sai paroolide pihustamise rünnakute kohta, mis on suunatud kaugjuurdepääsu VPN-teenustele, mis hõlmavad Cisco tooteid ja mitmete teiste müüjate tooteid. Paroolide pihustamise rünnaku korral üritab vastane saada julma jõuga juurdepääsu mitmele kontole, proovides kõigis nendes vaike- ja tavalisi paroole.
Luuretöö?
"See tegevus näib olevat seotud luuretegevusega," ütles Cisco eraldi 15. aprill nõuandev mis pakkus organisatsioonidele soovitusi parooliga pihustatavate rünnakute vastu. Nõuanne tõi esile kolm rünnaku sümptomit, mida Cisco VPN-ide kasutajad võivad täheldada: VPN-ühenduse tõrked, HostScani loa tõrked ja ebatavaline arv autentimistaotlusi.
Ettevõte soovitas organisatsioonidel lubada oma seadmetes sisse logida, kaitsta vaikimisi kaugjuurdepääsu VPN-profiile ja blokeerida pahatahtlikest allikatest pärinevad ühenduse katsed juurdepääsukontrolli loendite ja muude mehhanismide kaudu.
"Siin on oluline, et see rünnak ei oleks suunatud tarkvara või riistvara haavatavusele, mis tavaliselt nõuab plaastreid," ütles Sectigo tooteosakonna vanem asepresident Jason Soroko e-kirjas saadetud avalduses. Ründajad üritavad sel juhul ära kasutada nõrku paroolihalduse tavasid, ütles ta, seega tuleks keskenduda tugevate paroolide rakendamisele või paroolita mehhanismide rakendamisele juurdepääsu kaitsmiseks.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
