Cisco Talos a avertizat în această săptămână cu privire la o creștere masivă a atacurilor cu forță brută care vizează serviciile VPN, serviciile SSH și interfețele de autentificare a aplicațiilor web.
În avizul său, compania a descris atacurile ca implicând utilizarea de nume de utilizator generice și valide pentru a încerca să obțină acces inițial la mediile victimelor. Țintele acestor atacuri par a fi aleatorii și nediscriminatori și nu sunt limitate la niciun sector industrial sau geografie, spuse Cisco.
Compania a identificat atacurile ca având un impact asupra organizațiilor care folosesc dispozitive și tehnologii Cisco Secure Firewall VPN de la alți furnizori, inclusiv Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik și Draytek.
Volumul de atac ar putea crește
„În funcție de mediul țintă, atacurile de succes de acest tip pot duce la acces neautorizat la rețea, blocări de cont sau condiții de refuzare a serviciului”, a explicat o declarație Cisco Talos. Vânzătorul a remarcat că creșterea atacurilor a început în jurul datei de 28 martie și a avertizat cu privire la o creștere probabilă a volumelor de atacuri în zilele următoare.
Cisco nu a răspuns imediat la o întrebare Dark Reading cu privire la explozia bruscă a volumelor de atac și dacă acestea sunt opera unui singur actor de amenințare sau a mai multor actori amenințări. Avizul său a identificat adresele IP sursă pentru traficul de atac ca servicii proxy asociate cu Tor, Nexus Proxy, Space Proxies și BigMama Proxy.
Avizul Cisco s-a legat de indicatorii de compromis – inclusiv adresele IP și acreditările asociate cu atacurile – menționând totodată și potențialul ca aceste adrese IP să se schimbe în timp.
Noul val de atacuri este în concordanță cu interes crescut în rândul actorilor amenințărilor în VPN-urile și alte tehnologii pe care organizațiile le-au implementat în ultimii ani pentru a sprijini cerințele de acces la distanță pentru angajați. Atacatorii – inclusiv actorii din statul național – au ferocit vizat vulnerabilitățile acestor produse pentru a încerca să pătrundă în rețelele de întreprindere, provocând mai multe recomandări din partea unor persoane precum SUA Agenția de securitate cibernetică și infrastructură (CISA), FBI, the Agenția Națională de Securitate (NSA), Și altele.
Vulnerabilitățile VPN explodează în număr
Un studiu realizat de Securin a arătat numărul de vulnerabilități pe care cercetătorii, actorii amenințărilor și vânzătorii înșiși le-au descoperit în produsele VPN a crescut 875% între 2020 și 2024. Ei au observat cum 147 de defecte din opt produse ale furnizorilor diferiți au crescut la aproape 1,800 de defecte în 78 de produse. Securin a mai descoperit că atacatorii au armat 204 din totalul vulnerabilităților dezvăluite până acum. Dintre acestea, grupurile de amenințări persistente avansate (APT) precum Sandworm, APT32, APT33 și Fox Kitten au exploatat 26 de defecte, în timp ce grupurile de ransomware precum REvil și Sodinokibi au avut exploatări pentru alte 16.
Cel mai recent aviz al Cisco pare să fi provenit din mai multe rapoarte pe care compania le-a primit cu privire la atacurile prin pulverizare de parole care vizează serviciile VPN de acces la distanță care implică produsele Cisco și cele de la mai mulți alți furnizori. Într-un atac de pulverizare a parolelor, un adversar încearcă practic să obțină acces în forță brută la mai multe conturi încercând parole implicite și comune pentru toate.
Efort de recunoaștere?
„Această activitate pare să fie legată de eforturile de recunoaștere”, a spus Cisco într-un articol separat Aviz din 15 aprilie care a oferit recomandări pentru organizații împotriva atacurilor prin pulverizare de parole. Avizul a evidențiat trei simptome ale unui atac pe care utilizatorii VPN-urilor Cisco l-ar putea observa: eșecuri de conexiune VPN, erori de token HostScan și un număr neobișnuit de solicitări de autentificare.
Compania a recomandat organizațiilor să activeze conectarea pe dispozitivele lor, să securizeze profilurile VPN implicite de acces la distanță și să blocheze încercările de conectare din surse rău intenționate prin liste de control al accesului și alte mecanisme.
„Ceea ce este important aici este că acest atac nu este împotriva unei vulnerabilități software sau hardware, care de obicei necesită corecții”, a declarat Jason Soroko, vicepreședinte senior de produs la Sectigo, într-o declarație trimisă prin e-mail. Atacatorii în acest caz încearcă să profite de practicile slabe de gestionare a parolelor, a spus el, așa că accentul ar trebui să se pună pe implementarea parolelor puternice sau pe implementarea mecanismelor fără parolă pentru a proteja accesul.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
