Cisco Talos advarede i denne uge om en massiv stigning i brute-force-angreb rettet mod VPN-tjenester, SSH-tjenester og webapplikationsgodkendelsesgrænseflader.
I sin rådgivning beskrev virksomheden angrebene som involverede brug af generiske og gyldige brugernavne for at forsøge at få indledende adgang til offermiljøer. Målene for disse angreb ser ud til at være tilfældige og vilkårlige og ikke begrænset til nogen industrisektor eller geografi, sagde Cisco.
Virksomheden identificerede angrebene som at påvirke organisationer, der bruger Cisco Secure Firewall VPN-enheder og teknologier fra flere andre leverandører, herunder Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik og Draytek.
Angrebsvolumen kan stige
"Afhængigt af målmiljøet kan vellykkede angreb af denne type føre til uautoriseret netværksadgang, kontolåse eller denial-of-service-betingelser," forklarede en Cisco Talos-erklæring. Sælgeren bemærkede, at stigningen i angreb begyndte omkring den 28. marts og advarede om en sandsynlig stigning i angrebsvolumen i de kommende dage.
Cisco reagerede ikke umiddelbart på en Dark Reading-forespørgsel om den pludselige eksplosion i angrebsmængder, og om de er værket af en enkelt trusselsaktør eller flere trusselsaktører. Dens rådgivning identificerede kilde-IP-adresserne for angrebstrafikken som proxytjenester forbundet med Tor, Nexus Proxy, Space Proxies og BigMama Proxy.
Ciscos rådgivning knyttet til indikatorer for kompromis – herunder IP-adresser og legitimationsoplysninger forbundet med angrebene – samtidig med at de bemærkede potentialet for, at disse IP-adresser ændrer sig over tid.
Den nye bølge af angreb er i overensstemmelse med stigende interesse blandt trusselsaktører i de VPN'er og andre teknologier, som organisationer har implementeret i de seneste år for at understøtte krav om fjernadgang for medarbejdere. Angribere - herunder nationalstatsaktører - har voldsomt målrettet sårbarheder i disse produkter for at forsøge at bryde ind i virksomhedsnetværk, hvilket giver anledning til adskillige rådgivninger fra f.eks. Agentur for cybersikkerhed og infrastruktur (CISA), FBI, den National Security Agency (NSA), Og andre.
VPN-sårbarheder eksploderer i antal
En undersøgelse fra Securin viste antallet af sårbarheder, som forskere, trusselsaktører og leverandører selv har opdaget i VPN-produkter øget 875% mellem 2020 og 2024. De bemærkede, hvordan 147 fejl på tværs af otte forskellige leverandørers produkter voksede til næsten 1,800 fejl på tværs af 78 produkter. Securin fandt også ud af, at angribere bevæbnede 204 af de samlede afslørede sårbarheder indtil videre. Heraf havde avancerede persistent trussel-grupper (APT) såsom Sandworm, APT32, APT33 og Fox Kitten udnyttet 26 fejl, mens ransomware-grupper som REvil og Sodinokibi havde udnyttelser til yderligere 16.
Ciscos seneste rådgivning ser ud til at stamme fra adskillige rapporter, virksomheden modtog om angreb med adgangskodesprøjtning rettet mod VPN-tjenester med fjernadgang, der involverer Ciscos produkter og dem fra flere andre leverandører. I et password-spray-angreb forsøger en modstander dybest set at få brute-force adgang til flere konti ved at prøve standard- og fælles adgangskoder på tværs af dem alle.
Rekognosceringsindsats?
"Denne aktivitet ser ud til at være relateret til rekognosceringsindsats," sagde Cisco i en separat 15. april rådgivning der tilbød anbefalinger til organisationer mod password-spraying-angreb. Rådgivningen fremhævede tre symptomer på et angreb, som brugere af Cisco VPN'er kan observere: VPN-forbindelsesfejl, HostScan-tokenfejl og et usædvanligt antal godkendelsesanmodninger.
Virksomheden anbefalede, at organisationer aktiverede at logge på deres enheder, sikre standardfjernadgang VPN-profiler og blokere forbindelsesforsøg fra ondsindede kilder via adgangskontrollister og andre mekanismer.
"Det, der er vigtigt her, er, at dette angreb ikke er mod en software- eller hardwaresårbarhed, som normalt kræver patches," sagde Jason Soroko, senior vice president for produkt hos Sectigo, i en e-mail-meddelelse. Angriberne i dette tilfælde forsøger at drage fordel af svag adgangskodehåndteringspraksis, sagde han, så fokus bør være på at implementere stærke adgangskoder eller implementere adgangskodeløse mekanismer til at beskytte adgang.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
- :er
- :ikke
- 1
- 15 %
- 16
- 2020
- 2024
- 204
- 26 %
- 28
- 7
- 800
- a
- Om
- adgang
- Konto
- Konti
- tværs
- aktivitet
- aktører
- adresser
- fremskreden
- Fordel
- rådgivende
- mod
- agentur
- Alle
- også
- blandt
- an
- ,
- og infrastruktur
- En anden
- enhver
- vises
- kommer til syne
- Anvendelse
- APT
- ER
- omkring
- AS
- forbundet
- At
- angribe
- Angreb
- forsøger
- Forsøg på
- Godkendelse
- I bund og grund
- BE
- begyndte
- mellem
- Bloker
- Pause
- by
- lave om
- Cisco
- kommer
- Fælles
- selskab
- kompromis
- betingelser
- tilslutning
- konsekvent
- kontrol
- Legitimationsoplysninger
- mørk
- Mørk læsning
- Dage
- Standard
- Afhængigt
- indsat
- beskrevet
- Enheder
- DID
- forskellige
- opdaget
- indsats
- indsats
- otte
- medarbejdere
- muliggøre
- Enterprise
- Miljø
- miljøer
- forklarede
- Exploited
- exploits
- eksplosion
- fejl
- langt
- FBI
- firewall
- fejl
- Fokus
- Til
- Fortinet
- fundet
- ræv
- fra
- Gevinst
- geografi
- voksede
- Gruppens
- havde
- Hardware
- Have
- he
- link.
- Fremhævet
- Hvordan
- HTML
- HTTPS
- identificeret
- straks
- påvirker
- gennemføre
- vigtigt
- in
- Herunder
- Forøg
- Indikatorer
- vilkårlige
- industrien
- Infrastruktur
- initial
- undersøgelse
- instans
- interesse
- grænseflader
- ind
- involverer
- IP
- IP-adresser
- ITS
- Jason
- jpg
- seneste
- føre
- ligesom
- Sandsynlig
- synes godt om
- forbundet
- Lister
- logning
- ondsindet
- ledelse
- Marts
- massive
- Kan..
- mekanismer
- måske
- flere
- næsten
- netværk
- net
- Ny
- nexus
- bemærkede
- bemærke
- NSA
- nummer
- observere
- of
- tilbydes
- on
- or
- organisationer
- Andet
- Andre
- i løbet af
- Adgangskode
- Adgangskodehåndtering
- Nulstilling/ændring af adgangskoder
- Patches
- plato
- Platon Data Intelligence
- PlatoData
- potentiale
- praksis
- præsident
- Produkt
- Produkter
- Profiler
- beskytte
- proxy
- tilfældig
- ransomware
- RE
- Læsning
- modtaget
- nylige
- anbefalinger
- anbefales
- om
- relaterede
- fjern
- Remote Access
- Rapporter
- anmodninger
- Krav
- Kræver
- forskere
- Svar
- begrænset
- ondskab
- s
- Said
- sektor
- sikker
- sikkerhed
- senior
- adskille
- Tjenester
- flere
- bør
- viste
- enkelt
- So
- indtil nu
- Software
- Kilde
- Kilder
- Space
- ssh
- Statement
- stammede
- stærk
- Studere
- vellykket
- sådan
- pludselige
- support
- bølge
- Symptomer
- Tag
- Talos
- mål
- rettet mod
- mål
- Teknologier
- at
- The Source
- deres
- Them
- selv
- Disse
- de
- denne
- denne uge
- dem
- trussel
- trusselsaktører
- tre
- tid
- til
- token
- Tor
- I alt
- Trafik
- prøv
- forsøger
- typen
- uberettiget
- us
- brug
- brugere
- ved brug af
- sædvanligvis
- gyldig
- sælger
- leverandører
- via
- vice
- Vice President
- Victim
- mængder
- VPN
- VPN
- Sårbarheder
- sårbarhed
- advarede
- advarer
- Wave
- svag
- web
- Webapplikation
- uge
- Hvad
- Hvad er
- hvorvidt
- som
- mens
- med
- Arbejde
- år
- zephyrnet