Cisco Talos questa settimana ha avvertito di un massiccio aumento degli attacchi di forza bruta contro servizi VPN, servizi SSH e interfacce di autenticazione delle applicazioni Web.
Nel suo avviso, la società ha descritto gli attacchi come comportanti l'uso di nomi utente generici e validi per cercare di ottenere l'accesso iniziale agli ambienti delle vittime. Gli obiettivi di questi attacchi sembrano essere casuali e indiscriminati e non limitati ad alcun settore industriale o geografico, Ha detto Cisco.
L'azienda ha identificato gli attacchi che colpiscono le organizzazioni che utilizzano dispositivi VPN Cisco Secure Firewall e tecnologie di diversi altri fornitori, tra cui Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik e Draytek.
I volumi degli attacchi potrebbero aumentare
"A seconda dell'ambiente di destinazione, attacchi riusciti di questo tipo possono portare ad accessi non autorizzati alla rete, blocchi degli account o condizioni di negazione del servizio", spiega una dichiarazione di Cisco Talos. Il venditore ha notato che l'aumento degli attacchi è iniziato intorno al 28 marzo e ha avvertito di un probabile aumento dei volumi di attacchi nei prossimi giorni.
Cisco non ha risposto immediatamente a una domanda di Dark Reading riguardante l'improvvisa esplosione dei volumi di attacchi e se siano opera di un singolo attore di minacce o di più attori di minacce. Il suo avviso ha identificato gli indirizzi IP di origine del traffico dell'attacco come servizi proxy associati a Tor, Nexus Proxy, Space Proxies e BigMama Proxy.
L'avviso di Cisco è collegato agli indicatori di compromissione, inclusi gli indirizzi IP e le credenziali associate agli attacchi, rilevando anche la possibilità che questi indirizzi IP cambino nel tempo.
La nuova ondata di attacchi è coerente con la crescente interesse tra gli autori delle minacce nelle VPN e in altre tecnologie che le organizzazioni hanno implementato negli ultimi anni per supportare i requisiti di accesso remoto per i dipendenti. Gli aggressori, compresi gli attori degli stati-nazione, lo hanno fatto ferocemente preso di mira vulnerabilità di questi prodotti per cercare di penetrare nelle reti aziendali, suscitando molteplici avvisi da parte di paesi come gli Stati Uniti Cybersecurity and Infrastructure Security Agency (CISA), l'FBI, il National Security Agency (NSA), E altri.
Le vulnerabilità delle VPN esplodono in numero
Uno studio di Securin ha mostrato il numero di vulnerabilità che ricercatori, autori di minacce e stessi fornitori hanno scoperto nei prodotti VPN aumentato 875% tra il 2020 e il 2024. Hanno notato come 147 difetti nei prodotti di otto diversi fornitori siano cresciuti fino a quasi 1,800 difetti in 78 prodotti. Securin ha inoltre scoperto che gli aggressori hanno utilizzato come arma 204 delle vulnerabilità totali finora divulgate. Di questi, i gruppi APT (Advanced Persistent Threat) come Sandworm, APT32, APT33 e Fox Kitten avevano sfruttato 26 difetti, mentre i gruppi ransomware come REvil e Sodinokibi avevano sfruttato altri 16.
L'ultimo avviso di Cisco sembra derivare da numerose segnalazioni ricevute dall'azienda in merito ad attacchi di password spraying mirati a servizi VPN di accesso remoto che coinvolgono i prodotti Cisco e quelli di numerosi altri fornitori. In un attacco di password spraying, un avversario tenta fondamentalmente di ottenere l'accesso con la forza bruta a più account provando password predefinite e comuni su tutti di essi.
Sforzo di ricognizione?
"Questa attività sembra essere correlata agli sforzi di ricognizione", ha affermato Cisco in un separato Avviso del 15 aprile che offriva raccomandazioni alle organizzazioni contro gli attacchi di password spraying. L'avviso evidenzia tre sintomi di un attacco che gli utenti delle VPN Cisco potrebbero osservare: errori di connessione VPN, errori del token HostScan e un numero insolito di richieste di autenticazione.
L'azienda ha consigliato alle organizzazioni di abilitare l'accesso sui propri dispositivi, proteggere i profili VPN di accesso remoto predefiniti e bloccare i tentativi di connessione da fonti dannose tramite elenchi di controllo degli accessi e altri meccanismi.
"Ciò che è importante qui è che questo attacco non è contro una vulnerabilità software o hardware, che di solito richiede patch", ha detto Jason Soroko, vicepresidente senior del prodotto presso Sectigo, in una dichiarazione inviata via email. Gli aggressori in questo caso stanno tentando di trarre vantaggio da pratiche deboli di gestione delle password, ha affermato, quindi l'attenzione dovrebbe concentrarsi sull'implementazione di password complesse o sull'implementazione di meccanismi senza password per proteggere l'accesso.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
