Cisco Talos a mis en garde cette semaine contre une augmentation massive des attaques par force brute ciblant les services VPN, les services SSH et les interfaces d'authentification des applications Web.
Dans son avis, la société a décrit les attaques comme impliquant l'utilisation de noms d'utilisateur génériques et valides pour tenter d'obtenir un premier accès aux environnements des victimes. Les cibles de ces attaques semblent être aléatoires et aveugles et ne se limitent à aucun secteur industriel ou zone géographique, Cisco a dit.
La société a identifié les attaques comme affectant les organisations utilisant les appareils et technologies Cisco Secure Firewall VPN de plusieurs autres fournisseurs, notamment Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik et Draytek.
Les volumes d’attaque pourraient augmenter
"En fonction de l'environnement cible, des attaques réussies de ce type peuvent conduire à un accès non autorisé au réseau, à des verrouillages de compte ou à des conditions de déni de service", explique un communiqué de Cisco Talos. Le fournisseur a noté que la recrudescence des attaques avait commencé vers le 28 mars et a mis en garde contre une probable augmentation des volumes d'attaques dans les prochains jours.
Cisco n'a pas immédiatement répondu à une enquête de Dark Reading concernant l'explosion soudaine des volumes d'attaques et si elles sont l'œuvre d'un seul ou de plusieurs acteurs de la menace. Son avis a identifié les adresses IP sources du trafic d'attaque comme étant des services proxy associés à Tor, Nexus Proxy, Space Proxies et BigMama Proxy.
L'avis de Cisco était lié à des indicateurs de compromission, notamment les adresses IP et les informations d'identification associées aux attaques, tout en notant également la possibilité que ces adresses IP changent au fil du temps.
La nouvelle vague d'attaques est conforme à la intérêt croissant parmi les acteurs de la menace dans les VPN et autres technologies que les organisations ont déployées ces dernières années pour répondre aux exigences d'accès à distance des employés. Les attaquants – y compris les acteurs étatiques – ont férocement ciblé vulnérabilités de ces produits pour tenter de s'introduire dans les réseaux d'entreprise, ce qui a suscité de multiples avis de la part de sociétés comme les États-Unis. Agence de cybersécurité et de sécurité des infrastructures (CISA), le FBI, le National Security Agency (NSA)Et autres.
Les vulnérabilités VPN explosent en nombre
Une étude de Securin a montré le nombre de vulnérabilités que les chercheurs, les acteurs de la menace et les fournisseurs eux-mêmes ont découverts dans les produits VPN. augmenté 875% entre 2020 et 2024. Ils ont noté comment 147 failles dans les produits de huit fournisseurs différents sont passées à près de 1,800 78 failles dans 204 produits. Securin a également constaté que les attaquants ont exploité 32 des vulnérabilités totales divulguées jusqu'à présent. Parmi ceux-ci, des groupes de menaces persistantes avancées (APT) tels que Sandworm, APT33, APT26 et Fox Kitten ont exploité 16 failles, tandis que des groupes de ransomwares comme REvil et Sodinokibi en ont exploité XNUMX autres.
Le dernier avis de Cisco semble provenir de plusieurs rapports reçus par la société concernant des attaques par pulvérisation de mots de passe ciblant les services VPN d'accès à distance impliquant les produits Cisco et ceux de plusieurs autres fournisseurs. Dans une attaque par pulvérisation de mot de passe, un adversaire tente essentiellement d'accéder par force brute à plusieurs comptes en essayant des mots de passe par défaut et communs pour chacun d'eux.
Effort de reconnaissance ?
"Cette activité semble être liée aux efforts de reconnaissance", a déclaré Cisco dans un autre communiqué. Avis du 15 avril qui proposait des recommandations aux organisations contre les attaques par pulvérisation de mots de passe. L'avis a mis en évidence trois symptômes d'attaque que les utilisateurs de VPN Cisco pourraient observer : des échecs de connexion VPN, des échecs de jeton HostScan et un nombre inhabituel de demandes d'authentification.
La société a recommandé aux organisations d'activer la connexion sur leurs appareils, de sécuriser les profils VPN d'accès à distance par défaut et de bloquer les tentatives de connexion provenant de sources malveillantes via des listes de contrôle d'accès et d'autres mécanismes.
"Ce qui est important ici, c'est que cette attaque ne vise pas une vulnérabilité logicielle ou matérielle, qui nécessite généralement des correctifs", a déclaré Jason Soroko, vice-président senior des produits chez Sectigo, dans un communiqué envoyé par courrier électronique. Dans ce cas, les attaquants tentent de tirer parti de mauvaises pratiques de gestion des mots de passe, a-t-il déclaré. L'accent devrait donc être mis sur la mise en œuvre de mots de passe forts ou sur la mise en œuvre de mécanismes sans mot de passe pour protéger l'accès.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
- :est
- :ne pas
- 1
- 15%
- 16
- 2020
- 2024
- 204
- 26%
- 28
- 7
- 800
- a
- Qui sommes-nous
- accès
- Compte
- hybrides
- à travers
- activité
- acteurs
- adresses
- Avancée
- Avantage
- consultatif
- à opposer à
- agence
- Tous
- aussi
- parmi
- an
- ainsi que les
- et infrastructure
- Une autre
- tous
- apparaître
- apparaît
- Application
- APT
- SONT
- autour
- AS
- associé
- At
- attaquer
- Attaques
- tenter
- Tentatives
- Authentification
- En gros
- BE
- a commencé
- jusqu'à XNUMX fois
- Block
- Pause
- by
- Change
- Cisco
- Venir
- Commun
- Société
- compromis
- conditions
- connexion
- cohérent
- des bactéries
- Lettres de créance
- Foncé
- Lecture sombre
- jours
- Réglage par défaut
- Selon
- déployé
- décrit
- Compatibles
- DID
- différent
- découvert
- effort
- efforts
- huit
- employés
- permettre
- Entreprise
- Environment
- environnements
- expliqué
- Exploités
- exploits
- explosion
- échecs
- loin
- FBI
- pare-feu
- défauts
- Focus
- Pour
- Fortinet
- trouvé
- renard
- de
- Gain
- géographie
- a augmenté de
- Groupes
- ait eu
- Matériel
- Vous avez
- he
- ici
- Surbrillance
- Comment
- HTML
- HTTPS
- identifié
- immédiatement
- impactant
- la mise en œuvre
- important
- in
- Y compris
- Améliore
- Indicateurs
- aveugle
- industrie
- Infrastructure
- initiale
- enquête
- instance
- intérêt
- interfaces
- développement
- impliquant
- IP
- adresses IP
- SES
- Jason
- jpg
- Nouveautés
- conduire
- comme
- Probable
- aime
- lié
- Liste
- enregistrement
- malveillant
- gestion
- Mars
- massif
- Mai..
- mécanismes
- pourrait
- plusieurs
- presque
- réseau et
- réseaux
- Nouveauté
- lien
- noté
- notant
- NSA
- nombre
- observer
- of
- présenté
- on
- or
- organisations
- Autre
- Autres
- plus de
- Mot de Passe
- la gestion de mot de passe
- mots de passe
- Patches
- Platon
- Intelligence des données Platon
- PlatonDonnées
- défaillances
- pratiques
- président
- Produit
- Produits
- Profils
- protéger
- procuration
- aléatoire
- ransomware
- RE
- en cours
- reçu
- récent
- recommandations
- recommandé
- en ce qui concerne
- en relation
- éloigné
- accès à distance
- Rapports
- demandes
- Exigences
- a besoin
- chercheurs
- Réagir
- limité
- rMal
- s
- Saïd
- secteur
- sécurisé
- sécurité
- supérieur
- séparé
- Services
- plusieurs
- devrait
- montré
- unique
- So
- jusqu'à présent
- Logiciels
- Identifier
- Sources
- Space
- ssh
- Déclaration
- stemmed
- STRONG
- Étude
- réussi
- tel
- soudain
- Support
- se pose
- Symptômes
- Prenez
- Talos
- Target
- ciblage
- objectifs
- Les technologies
- qui
- Les
- La Source
- leur
- Les
- se
- Ces
- l'ont
- this
- cette semaine
- ceux
- menace
- acteurs de la menace
- trois
- fiable
- à
- jeton
- Tor
- Total
- circulation
- Essai
- essayer
- type
- non autorisé
- us
- utilisé
- utilisateurs
- en utilisant
- d'habitude
- Info de contact.
- vendeur
- fournisseurs
- via
- vice
- Vice-président
- Victime
- volumes
- VPN
- VPN
- vulnérabilités
- vulnérabilité
- averti
- Avertit
- Vague
- faible
- web
- application Web
- semaine
- Quoi
- Qu’est ce qu'
- que
- qui
- tout en
- comprenant
- activités principales
- années
- zéphyrnet