Cisco Talos advarte denne uken om en massiv økning i brute-force-angrep rettet mot VPN-tjenester, SSH-tjenester og webapplikasjonsautentiseringsgrensesnitt.
I sine råd beskrev selskapet angrepene som involverer bruk av generiske og gyldige brukernavn for å prøve å få første tilgang til offermiljøer. Målene for disse angrepene ser ut til å være tilfeldige og vilkårlige og ikke begrenset til noen industrisektor eller geografi, sa Cisco.
Selskapet identifiserte angrepene som påvirker organisasjoner som bruker Cisco Secure Firewall VPN-enheter og teknologier fra flere andre leverandører, inkludert Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik og Draytek.
Angrepsvolumene kan øke
"Avhengig av målmiljøet, kan vellykkede angrep av denne typen føre til uautorisert nettverkstilgang, kontolåsing eller tjenestenekt," forklarte en Cisco Talos-uttalelse. Selgeren bemerket at økningen i angrep begynte rundt 28. mars og advarte om en sannsynlig økning i angrepsvolumer i de kommende dagene.
Cisco svarte ikke umiddelbart på en Dark Reading-henvendelse angående den plutselige eksplosjonen i angrepsvolumer og om de er arbeidet til en enkelt trusselaktør eller flere trusselaktører. Dets råd identifiserte kilde-IP-adressene for angrepstrafikken som proxy-tjenester knyttet til Tor, Nexus Proxy, Space Proxies og BigMama Proxy.
Ciscos råd knyttet til indikatorer på kompromiss – inkludert IP-adresser og legitimasjon knyttet til angrepene – samtidig som de bemerket potensialet for at disse IP-adressene endres over tid.
Den nye bølgen av angrep er i samsvar med økende interesse blant trusselaktører i VPN-er og andre teknologier som organisasjoner har implementert de siste årene for å støtte krav til fjerntilgang for ansatte. Angripere – inkludert nasjonalstatsaktører – har voldsomt målrettet sårbarheter i disse produktene for å prøve å bryte seg inn i bedriftsnettverk, noe som gir flere råd fra slike som USA Cybersecurity and Infrastructure Security Agency (CISA), FBI, den National Security Agency (NSA)Og andre.
VPN-sårbarheter eksploderer i antall
En studie av Securin viste antall sårbarheter som forskere, trusselaktører og leverandører selv har oppdaget i VPN-produkter økt 875% mellom 2020 og 2024. De la merke til hvordan 147 feil fordelt på åtte forskjellige leverandørers produkter vokste til nesten 1,800 feil fordelt på 78 produkter. Securin fant også at angripere bevæpnet 204 av de totale avslørte sårbarhetene så langt. Av dette hadde avanserte vedvarende trusselgrupper (APT) som Sandworm, APT32, APT33 og Fox Kitten utnyttet 26 feil, mens løsepengevaregrupper som REvil og Sodinokibi hadde utnyttelser for ytterligere 16.
Ciscos siste råd ser ut til å stamme fra flere rapporter selskapet mottok om passordsprøyteangrep rettet mot VPN-tjenester med ekstern tilgang som involverer Ciscos produkter og de fra flere andre leverandører. I et passordsprøyteangrep prøver en motstander i utgangspunktet å få brute-force-tilgang til flere kontoer ved å prøve standard og vanlige passord på tvers av dem alle.
Rekognoseringsinnsats?
"Denne aktiviteten ser ut til å være relatert til rekognoseringsinnsats," sa Cisco i en separat 15. april rådgivende som ga anbefalinger for organisasjoner mot passordsprøytingsangrep. Rådgivningen fremhevet tre symptomer på et angrep som brukere av Cisco VPN-er kan observere: VPN-tilkoblingsfeil, HostScan-tokenfeil og et uvanlig antall autentiseringsforespørsler.
Selskapet anbefalte at organisasjoner aktiverer pålogging på enhetene sine, sikrer standard VPN-profiler for ekstern tilgang og blokkerer tilkoblingsforsøk fra ondsinnede kilder via tilgangskontrolllister og andre mekanismer.
"Det som er viktig her er at dette angrepet ikke er mot en programvare- eller maskinvaresårbarhet, som vanligvis krever patcher," sa Jason Soroko, senior visepresident for produkt i Sectigo, i en e-postmelding. Angriperne i dette tilfellet forsøker å dra nytte av svake passordbehandlingspraksis, sa han, så fokuset bør være på å implementere sterke passord eller implementere passordløse mekanismer for å beskytte tilgang.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
