Cisco Talos minggu ini memperingatkan peningkatan besar-besaran serangan brute force yang menargetkan layanan VPN, layanan SSH, dan antarmuka otentikasi aplikasi Web.

Dalam penasehatannya, perusahaan menggambarkan serangan tersebut melibatkan penggunaan nama pengguna yang umum dan valid untuk mencoba dan mendapatkan akses awal ke lingkungan korban. Sasaran serangan ini tampaknya bersifat acak dan tidak pandang bulu serta tidak terbatas pada sektor industri atau geografi mana pun. kata Cisco.

Perusahaan mengidentifikasi serangan tersebut berdampak pada organisasi yang menggunakan perangkat Cisco Secure Firewall VPN dan teknologi dari beberapa vendor lain, termasuk Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik, dan Draytek.

Volume Serangan Mungkin Meningkat

“Tergantung pada lingkungan target, keberhasilan serangan jenis ini dapat menyebabkan akses jaringan tidak sah, penguncian akun, atau kondisi penolakan layanan,” jelas pernyataan Cisco Talos. Vendor tersebut mencatat lonjakan serangan dimulai sekitar 28 Maret dan memperingatkan kemungkinan peningkatan volume serangan dalam beberapa hari mendatang.

Cisco tidak segera menanggapi pertanyaan Dark Reading mengenai ledakan volume serangan yang tiba-tiba dan apakah serangan tersebut dilakukan oleh satu pelaku ancaman atau beberapa pelaku ancaman. Penasihatnya mengidentifikasi alamat IP sumber untuk lalu lintas serangan sebagai layanan proxy yang terkait dengan Tor, Nexus Proxy, Space Proxy, dan BigMama Proxy.

Penasihat Cisco terkait dengan indikator-indikator penyusupan – termasuk alamat IP dan kredensial yang terkait dengan serangan tersebut – sekaligus mencatat potensi alamat IP ini berubah seiring waktu.

Gelombang serangan baru ini konsisten dengan meningkatnya minat di antara para pelaku ancaman dalam VPN dan teknologi lain yang telah diterapkan organisasi dalam beberapa tahun terakhir untuk mendukung persyaratan akses jarak jauh bagi karyawan. Para penyerang – termasuk aktor negara – pernah mengalami hal ini ditargetkan dengan ganas kerentanan dalam produk-produk ini untuk mencoba dan membobol jaringan perusahaan, sehingga mendorong banyak nasihat dari negara-negara seperti AS Badan Keamanan Cybersecurity dan Infrastruktur (CISA), FBI, itu Badan Keamanan Nasional (NSA), Dan lain-lain.

Kerentanan VPN Meledak dalam Jumlah

Sebuah studi yang dilakukan Securin menunjukkan sejumlah kerentanan yang ditemukan oleh para peneliti, pelaku ancaman, dan vendor dalam produk VPN meningkat 875% antara tahun 2020 dan 2024. Mereka mencatat bagaimana 147 cacat pada delapan produk vendor berbeda berkembang menjadi hampir 1,800 cacat pada 78 produk. Securin juga menemukan bahwa penyerang mempersenjatai 204 dari total kerentanan yang diungkapkan sejauh ini. Dari jumlah tersebut, kelompok ancaman persisten tingkat lanjut (APT) seperti Sandworm, APT32, APT33, dan Fox Kitten telah mengeksploitasi 26 kelemahan, sementara kelompok ransomware seperti REvil dan Sodinokibi telah mengeksploitasi 16 kelemahan lainnya.

Peringatan terbaru Cisco tampaknya berasal dari beberapa laporan yang diterima perusahaan tentang serangan penyemprotan kata sandi yang menargetkan layanan VPN akses jarak jauh yang melibatkan produk Cisco dan produk dari beberapa vendor lainnya. Dalam serangan penyemprotan kata sandi, musuh pada dasarnya berupaya mendapatkan akses brute force ke banyak akun dengan mencoba kata sandi default dan umum di semua akun tersebut.

Upaya Pengintaian?

“Kegiatan ini tampaknya terkait dengan upaya pengintaian,” kata Cisco secara terpisah penasehat 15 April yang menawarkan rekomendasi bagi organisasi terhadap serangan penyemprotan kata sandi. Peringatan tersebut menyoroti tiga gejala serangan yang mungkin diamati oleh pengguna Cisco VPN: kegagalan koneksi VPN, kegagalan token HostScan, dan jumlah permintaan otentikasi yang tidak biasa.

Perusahaan merekomendasikan agar organisasi mengaktifkan pencatatan pada perangkat mereka, mengamankan profil VPN akses jarak jauh default, dan memblokir upaya koneksi dari sumber jahat melalui daftar kontrol akses dan mekanisme lainnya.

“Yang penting di sini adalah bahwa serangan ini tidak ditujukan terhadap kerentanan perangkat lunak atau perangkat keras, yang biasanya memerlukan perbaikan,” Jason Soroko, wakil presiden senior produk di Sectigo, mengatakan dalam sebuah pernyataan melalui email. Para penyerang dalam hal ini mencoba mengambil keuntungan dari praktik pengelolaan kata sandi yang lemah, katanya, sehingga fokusnya harus pada penerapan kata sandi yang kuat atau penerapan mekanisme tanpa kata sandi untuk melindungi akses.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns