Cisco Talos waarschuwde deze week voor een enorme toename van brute-force-aanvallen gericht op VPN-services, SSH-services en authenticatie-interfaces voor webapplicaties.
In zijn advies beschreef het bedrijf dat bij de aanvallen gebruik werd gemaakt van generieke en geldige gebruikersnamen om toegang te krijgen tot de slachtofferomgeving. De doelwitten van deze aanvallen lijken willekeurig en willekeurig te zijn en niet beperkt tot enige industriële sector of regio. zei Cisco.
Het bedrijf heeft vastgesteld dat de aanvallen gevolgen hebben voor organisaties die Cisco Secure Firewall VPN-apparaten en -technologieën van verschillende andere leveranciers gebruiken, waaronder Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik en Draytek.
Aanvalsvolumes kunnen toenemen
“Afhankelijk van de doelomgeving kunnen succesvolle aanvallen van dit type leiden tot ongeoorloofde netwerktoegang, accountblokkering of denial-of-service-omstandigheden”, aldus een verklaring van Cisco Talos. De leverancier merkte op dat de toename van het aantal aanvallen rond 28 maart begon en waarschuwde voor een waarschijnlijke toename van het aantal aanvallen in de komende dagen.
Cisco heeft niet onmiddellijk gereageerd op een onderzoek van Dark Reading naar de plotselinge explosie in aanvalsvolumes en of deze het werk zijn van één enkele bedreigingsacteur of van meerdere bedreigingsactoren. Het advies identificeerde de bron-IP-adressen voor het aanvalsverkeer als proxyservices geassocieerd met Tor, Nexus Proxy, Space Proxies en BigMama Proxy.
Het advies van Cisco koppelde aan indicatoren van compromissen – waaronder IP-adressen en inloggegevens die verband houden met de aanvallen – en merkte ook op dat deze IP-adressen in de loop van de tijd kunnen veranderen.
De nieuwe aanvalsgolf komt overeen met de toenemende belangstelling onder dreigingsactoren in de VPN's en andere technologieën die organisaties de afgelopen jaren hebben ingezet om de vereisten voor externe toegang voor werknemers te ondersteunen. Aanvallers – inclusief nationale actoren – hebben dat wel gedaan wreed gericht kwetsbaarheden in deze producten om te proberen in te breken in bedrijfsnetwerken, wat aanleiding gaf tot meerdere adviezen van onder meer de VS Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA), de FBI, de National Security Agency (NSA), En anderen.
VPN-kwetsbaarheden exploderen in aantal
Uit een onderzoek van Securin blijkt hoeveel kwetsbaarheden onderzoekers, bedreigingsactoren en leveranciers zelf hebben ontdekt in VPN-producten verhoogde 875% tussen 2020 en 2024. Ze merkten op hoe 147 gebreken in de producten van acht verschillende leveranciers uitgroeiden tot bijna 1,800 gebreken in 78 producten. Securin ontdekte ook dat aanvallers 204 van de tot nu toe onthulde kwetsbaarheden als wapen hadden gebruikt. Hiervan hadden geavanceerde persistente dreigingsgroepen (APT), zoals Sandworm, APT32, APT33 en Fox Kitten, 26 kwetsbaarheden uitgebuit, terwijl ransomwaregroepen als REvil en Sodinokibi exploits hadden voor nog eens 16.
Het laatste advies van Cisco lijkt te zijn voortgekomen uit meerdere rapporten die het bedrijf heeft ontvangen over aanvallen met wachtwoordspray gericht op VPN-diensten voor externe toegang waarbij producten van Cisco en die van meerdere andere leveranciers betrokken zijn. Bij een wachtwoord-spray-aanval probeert een tegenstander met brute kracht toegang te krijgen tot meerdere accounts door standaard- en algemene wachtwoorden voor al deze accounts te proberen.
Verkenningsinspanning?
“Deze activiteit lijkt verband te houden met verkenningsinspanningen”, zei Cisco in een aparte publicatie 15 april advies dat aanbevelingen voor organisaties bood tegen aanvallen met wachtwoordspuiten. Het advies benadrukte drie symptomen van een aanval die gebruikers van Cisco VPN's zouden kunnen waarnemen: mislukte VPN-verbindingen, mislukte HostScan-tokens en een ongewoon aantal authenticatieverzoeken.
Het bedrijf raadde organisaties aan om inloggen op hun apparaten mogelijk te maken, standaard VPN-profielen voor externe toegang te beveiligen en verbindingspogingen van kwaadaardige bronnen te blokkeren via toegangscontrolelijsten en andere mechanismen.
“Wat hier belangrijk is, is dat deze aanval niet gericht is tegen een software- of hardwarekwetsbaarheid, waarvoor doorgaans patches nodig zijn”, zegt Jason Soroko, senior vice-president product bij Sectigo, in een per e-mail verzonden verklaring. De aanvallers proberen in dit geval misbruik te maken van zwakke wachtwoordbeheerpraktijken, zei hij, dus de focus moet liggen op het implementeren van sterke wachtwoorden of het implementeren van wachtwoordloze mechanismen om de toegang te beschermen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
