Cisco Talos این هفته نسبت به افزایش گسترده حملات brute-force که خدمات VPN، سرویسهای SSH و رابطهای احراز هویت برنامههای وب را هدف قرار میدهند، هشدار داد.
این شرکت در مشاوره خود، این حملات را شامل استفاده از نامهای کاربری عمومی و معتبر برای تلاش برای دسترسی اولیه به محیطهای قربانی توصیف کرد. به نظر می رسد که اهداف این حملات تصادفی و بدون تبعیض بوده و به هیچ بخش صنعتی یا جغرافیایی محدود نمی شود. سیسکو گفت.
این شرکت حملات را به عنوان سازمانهایی که از دستگاهها و فنآوریهای Cisco Secure Firewall VPN استفاده میکنند شناسایی کرده است، از جمله Checkpoint VPN، Fortinet VPN، SonicWall VPN، Mikrotik و Draytek.
حجم حمله ممکن است افزایش یابد
در بیانیه Cisco Talos توضیح داده شده است: "بسته به محیط هدف، حملات موفقیت آمیز از این نوع ممکن است منجر به دسترسی غیرمجاز به شبکه، قفل شدن حساب یا شرایط انکار سرویس شود." این فروشنده اشاره کرد که افزایش حملات از حدود 28 مارس آغاز شد و نسبت به افزایش احتمالی حجم حملات در روزهای آینده هشدار داد.
سیسکو بلافاصله به یک پرسش Dark Reading در مورد انفجار ناگهانی در حجم حملات و اینکه آیا آنها کار یک عامل تهدید منفرد هستند یا چندین بازیگر تهدید پاسخ نداد. مشاوره آن آدرس IP منبع برای ترافیک حمله را به عنوان خدمات پراکسی مرتبط با Tor، Nexus Proxy، Space Proxy و BigMama Proxy شناسایی کرد.
توصیههای سیسکو به شاخصهای سازش مرتبط است - از جمله آدرسهای IP و اعتبارنامههای مرتبط با حملات - در حالی که به پتانسیل تغییر این آدرسهای IP در طول زمان اشاره میکند.
موج جدید حملات مطابق با افزایش علاقه در میان بازیگران تهدید در VPN ها و سایر فناوری هایی که سازمان ها در سال های اخیر برای پشتیبانی از الزامات دسترسی از راه دور برای کارکنان به کار گرفته اند. مهاجمان - از جمله بازیگران دولت - ملت - داشته اند به شدت مورد هدف قرار گرفته است آسیبپذیریها در این محصولات برای تلاش برای نفوذ به شبکههای سازمانی، که باعث توصیههای متعددی از سوی شرکتهایی مانند ایالات متحده شده است. امنیت سایبری و آژانس امنیت زیرساخت (CISA)، FBI، آژانس امنیت ملی (NSA)، و دیگران.
تعداد آسیب پذیری های VPN منفجر می شود
یک مطالعه توسط Securin تعداد آسیبپذیریهایی را که محققان، عوامل تهدید و خود فروشندگان در محصولات VPN کشف کردهاند نشان داد. 875٪ افزایش یافت بین سالهای 2020 و 2024. آنها اشاره کردند که چگونه 147 نقص در هشت محصول مختلف فروشنده به نزدیک به 1,800 نقص در 78 محصول رسیده است. Securin همچنین دریافت که مهاجمان تا کنون 204 مورد از آسیبپذیریهای فاش شده را مسلح کردهاند. از این میان، گروههای تهدید دائمی پیشرفته (APT) مانند Sandworm، APT32، APT33 و Fox Kitten از 26 نقص بهرهبرداری کردهاند، در حالی که گروههای باجافزاری مانند REvil و Sodinokibi برای 16 مورد دیگر سوءاستفاده کردهاند.
به نظر می رسد آخرین توصیه سیسکو از گزارش های متعددی که این شرکت در مورد حملات پاشش رمز عبور دریافت کرده است که خدمات VPN دسترسی از راه دور شامل محصولات سیسکو و چندین فروشنده دیگر را هدف قرار می دهد، نشات گرفته است. در یک حمله پاشش رمز عبور، دشمن اساساً تلاش میکند تا با استفاده از گذرواژههای پیشفرض و رایج در همه آنها، به چندین حساب دسترسی بیفوری به دست آورد.
تلاش شناسایی؟
سیسکو در گزارشی جداگانه گفت: "به نظر می رسد این فعالیت با تلاش های شناسایی مرتبط باشد." توصیه 15 آوریل که توصیه هایی را برای سازمان ها در برابر حملات پاشش رمز عبور ارائه کرد. این مشاوره سه علامت حمله را که کاربران VPN های Cisco ممکن است مشاهده کنند برجسته می کند: خرابی اتصال VPN، خرابی توکن HostScan و تعداد غیرعادی درخواست های احراز هویت.
این شرکت توصیه کرد که سازمانها ورود به دستگاههای خود را فعال کنند، پروفایلهای VPN دسترسی از راه دور را ایمن کنند و تلاشهای اتصال از منابع مخرب را از طریق لیستهای کنترل دسترسی و مکانیسمهای دیگر مسدود کنند.
جیسون سوروکو، معاون ارشد تولید در Sectigo در بیانیه ای ایمیلی گفت: «آنچه در اینجا مهم است این است که این حمله علیه آسیبپذیری نرمافزاری یا سختافزاری نیست، که معمولاً به وصلهها نیاز دارد. او گفت که مهاجمان در این نمونه تلاش میکنند از شیوههای ضعیف مدیریت رمز عبور استفاده کنند، بنابراین تمرکز باید بر پیادهسازی رمزهای عبور قوی یا پیادهسازی مکانیزمهای بدون رمز عبور برای محافظت از دسترسی باشد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns