W tym tygodniu Cisco Talos ostrzegł przed ogromnym wzrostem liczby ataków typu brute-force na usługi VPN, usługi SSH i interfejsy uwierzytelniania aplikacji internetowych.
W swoim poradniku firma opisała ataki jako polegające na użyciu ogólnych i prawidłowych nazw użytkowników w celu uzyskania wstępnego dostępu do środowisk ofiar. Cele tych ataków wydają się być przypadkowe i masowe i nie ograniczają się do żadnego sektora przemysłu ani położenia geograficznego, – powiedział Cisco.
Firma zidentyfikowała ataki jako mające wpływ na organizacje korzystające z urządzeń i technologii Cisco Secure Firewall VPN od kilku innych dostawców, w tym Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik i Draytek.
Liczba ataków może wzrosnąć
„W zależności od środowiska docelowego udane ataki tego typu mogą prowadzić do nieautoryzowanego dostępu do sieci, blokady kont lub warunków odmowy usługi” – wyjaśniono w oświadczeniu Cisco Talos. Sprzedawca zauważył, że wzrost liczby ataków rozpoczął się około 28 marca i ostrzegł przed prawdopodobnym wzrostem liczby ataków w nadchodzących dniach.
Firma Cisco nie odpowiedziała natychmiast na zapytanie Dark Reading dotyczące nagłego wzrostu liczby ataków oraz tego, czy są one dziełem jednego ugrupowania zagrażającego, czy wielu ugrupowań zagrażających. W swoim poradniku źródłowe adresy IP ruchu atakującego zidentyfikowano jako usługi proxy powiązane z Torem, Nexus Proxy, Space Proxy i BigMama Proxy.
Porada Cisco powiązała się ze wskaźnikami naruszenia — w tym adresami IP i danymi uwierzytelniającymi związanymi z atakami — zwracając jednocześnie uwagę na możliwość zmiany tych adresów IP w czasie.
Nowa fala ataków jest zgodna z rosnące zainteresowanie wśród cyberprzestępców w sieciach VPN i innych technologiach wdrożonych przez organizacje w ostatnich latach w celu spełnienia wymagań dotyczących zdalnego dostępu dla pracowników. Atakujący – w tym podmioty z państw narodowych – tak zaciekle wycelowany luki w zabezpieczeniach tych produktów, próbujące włamać się do sieci korporacyjnych, co spowodowało wiele porad, m.in. z USA Agencja ds. Bezpieczeństwa cybernetycznego i bezpieczeństwa infrastruktury (CISA), FBI, Agencja Bezpieczeństwa Narodowego (NSA), I inne.
Liczba luk w zabezpieczeniach VPN eksploduje
Badanie przeprowadzone przez firmę Securin wykazało liczbę luk w zabezpieczeniach, które badacze, ugrupowania zagrażające i sami dostawcy odkryli w produktach VPN zwiększono 875% między 2020 a 2024 rokiem. Zauważyli, że 147 wad w produktach ośmiu różnych dostawców rozrosło się do prawie 1,800 wad w 78 produktach. Securin odkrył również, że napastnicy wykorzystali 204 z wszystkich dotychczas ujawnionych luk. Z tego grupy zaawansowanych trwałych zagrożeń (APT), takie jak Sandworm, APT32, APT33 i Fox Kitten, wykorzystały 26 luk, podczas gdy grupy ransomware, takie jak REvil i Sodinokibi, wykorzystały kolejne 16.
Wydaje się, że najnowszy poradnik Cisco wynika z wielu otrzymanych przez firmę raportów na temat ataków polegających na rozpylaniu haseł wymierzonych w usługi VPN dostępu zdalnego z wykorzystaniem produktów Cisco oraz produktów wielu innych dostawców. W ataku polegającym na rozpylaniu haseł przeciwnik zasadniczo próbuje uzyskać dostęp metodą brute-force do wielu kont, wypróbowując domyślne i wspólne hasła na każdym z nich.
Wysiłek rozpoznawczy?
„Wydaje się, że ta działalność jest powiązana z działaniami rozpoznawczymi” – stwierdziła Cisco w osobnym oświadczeniu Zalecenie z 15 kwietnia który zawierał zalecenia dla organizacji dotyczące ataków polegających na rozpylaniu haseł. W poradniku zwrócono uwagę na trzy objawy ataku, które mogą zaobserwować użytkownicy sieci VPN Cisco: awarie połączeń VPN, awarie tokenów HostScan i nietypowa liczba żądań uwierzytelnienia.
Firma zaleciła organizacjom włączenie logowania na swoich urządzeniach, zabezpieczenie domyślnych profili VPN dostępu zdalnego i blokowanie prób połączeń ze złośliwych źródeł za pomocą list kontroli dostępu i innych mechanizmów.
„Ważne jest to, że ten atak nie dotyczy luki w oprogramowaniu lub sprzęcie, która zwykle wymaga łatania” – powiedział w przesłanym e-mailu oświadczeniu Jason Soroko, starszy wiceprezes ds. produktu w Sectigo. Stwierdził, że w tym przypadku napastnicy próbują wykorzystać słabe praktyki zarządzania hasłami, dlatego należy skupić się na wdrażaniu silnych haseł lub wdrażaniu mechanizmów bezhasłowych w celu ochrony dostępu.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
- :Jest
- :nie
- 1
- 15%
- 16
- 2020
- 2024
- 204
- 26%
- 28
- 7
- 800
- a
- O nas
- dostęp
- Konto
- Konta
- w poprzek
- działalność
- aktorzy
- Adresy
- zaawansowany
- Korzyść
- doradczy
- przed
- agencja
- Wszystkie kategorie
- również
- wśród
- an
- i
- i infrastruktura
- Inne
- każdy
- zjawić się
- pojawia się
- Zastosowanie
- APT
- SĄ
- na około
- AS
- powiązany
- At
- atakować
- Ataki
- próbując
- Próby
- Uwierzytelnianie
- Gruntownie
- BE
- rozpoczął
- pomiędzy
- Blokować
- przerwa
- by
- zmiana
- Cisco
- przyjście
- wspólny
- sukcesy firma
- kompromis
- Warunki
- połączenie
- zgodny
- kontrola
- Listy uwierzytelniające
- Ciemny
- Mroczne czytanie
- Dni
- Domyślnie
- W zależności
- wdrażane
- opisane
- urządzenia
- ZROBIŁ
- różne
- odkryty
- wysiłek
- starania
- osiem
- pracowników
- umożliwiać
- Enterprise
- Środowisko
- środowiska
- wyjaśnione
- eksploatowany
- exploity
- eksplozja
- Awarie
- daleko
- fbi
- zapora
- Skazy
- Skupiać
- W razie zamówieenia projektu
- Fortinet
- znaleziono
- lis
- od
- Wzrost
- geografia
- wzrosła
- Grupy
- miał
- sprzęt komputerowy
- Have
- he
- tutaj
- Podświetlony
- W jaki sposób
- HTML
- HTTPS
- zidentyfikowane
- natychmiast
- wpływ
- wykonawczych
- ważny
- in
- Włącznie z
- Zwiększać
- wskaźniki
- niewybredny
- przemysł
- Infrastruktura
- początkowy
- zapytanie
- przykład
- odsetki
- interfejsy
- najnowszych
- z udziałem
- IP
- Adresy IP
- JEGO
- Jason
- jpg
- firmy
- prowadzić
- lubić
- Prawdopodobnie
- lubi
- powiązany
- wykazy
- zalogowaniu
- złośliwy
- i konserwacjami
- March
- masywny
- Może..
- Mechanizmy
- może
- wielokrotność
- prawie
- sieć
- sieci
- Nowości
- Nexus
- zauważyć
- Zauważając
- ino
- numer
- obserwować
- of
- oferowany
- on
- or
- organizacji
- Inne
- Pozostałe
- koniec
- Hasło
- Zarządzanie hasłami
- hasła
- Łatki
- plato
- Analiza danych Platona
- PlatoDane
- potencjał
- praktyki
- prezydent
- Produkt
- Produkty
- profile
- chronić
- pełnomocnik
- przypadkowy
- ransomware
- RE
- Czytający
- Odebrane
- niedawny
- zalecenia
- Zalecana
- w sprawie
- związane z
- zdalny
- zdalny dostęp
- Raporty
- wywołań
- wymagania
- Wymaga
- Badacze
- Odpowiadać
- ograniczony
- zła
- s
- Powiedział
- sektor
- bezpieczne
- bezpieczeństwo
- senior
- oddzielny
- Usługi
- kilka
- powinien
- pokazał
- pojedynczy
- So
- dotychczas
- Tworzenie
- Źródło
- Źródła
- Typ przestrzeni
- ssh
- Zestawienie sprzedaży
- wywodził się
- silny
- Badanie
- udany
- taki
- nagły
- wsparcie
- powstaje
- objawy
- Brać
- talos
- cel
- kierowania
- cele
- Technologies
- że
- Połączenia
- Źródło
- ich
- Im
- sami
- Te
- one
- to
- w tym tygodniu
- tych
- groźba
- podmioty grożące
- trzy
- czas
- do
- żeton
- Tor
- Kwota produktów:
- ruch drogowy
- próbować
- stara
- rodzaj
- Nieupoważniony
- us
- posługiwać się
- Użytkownicy
- za pomocą
- zazwyczaj
- ważny
- sprzedawca
- sprzedawców
- przez
- wice
- Wiceprezes
- Ofiara
- kłęby
- VPN
- VPN
- Luki w zabezpieczeniach
- wrażliwość
- ostrzeżony
- Ostrzega
- fala
- słaby
- sieć
- Aplikacja internetowa
- tydzień
- Co
- Co to jest
- czy
- który
- Podczas
- w
- Praca
- lat
- zefirnet