Η Cisco προειδοποιεί για μεγάλης κλίμακας επιθέσεις brute-force εναντίον υπηρεσιών VPN

[deniSun]

Η Cisco προειδοποιεί για μια μεγάλης κλίμακας εκστρατεία παραβίασης διαπιστευτηρίων με στόχο υπηρεσίες VPN και SSH σε συσκευές Cisco, CheckPoint, Fortinet, SonicWall και Ubiquiti παγκοσμίως.

Μια επίθεση brute-force είναι η διαδικασία της προσπάθειας σύνδεσης σε έναν λογαριασμό ή μια συσκευή χρησιμοποιώντας πολλά ονόματα χρήστη και κωδικούς πρόσβασης μέχρι να βρεθεί ο σωστός συνδυασμός. Μόλις αποκτήσουν πρόσβαση στα σωστά διαπιστευτήρια, οι απειλητικοί παράγοντες μπορούν στη συνέχεια να τα χρησιμοποιήσουν για να καταλάβουν μια συσκευή ή να αποκτήσουν πρόσβαση στο εσωτερικό δίκτυο.

Σύμφωνα με τη Cisco Talos, αυτή η νέα εκστρατεία brute force χρησιμοποιεί ένα μείγμα έγκυρων και γενικών ονομάτων χρήστη εργαζομένων που σχετίζονται με συγκεκριμένους οργανισμούς.

Οι ερευνητές λένε ότι οι επιθέσεις ξεκίνησαν στις 18 Μαρτίου 2024, ενώ όλες οι επιθέσεις προέρχονται από κόμβους εξόδου TOR και διάφορα άλλα εργαλεία ανωνυμοποίησης και proxy, τα οποία οι απειλητικοί φορείς χρησιμοποιούν για να αποφύγουν τους αποκλεισμούς.

"Ανάλογα με το περιβάλλον-στόχο, οι επιτυχημένες επιθέσεις αυτού του τύπου μπορεί να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση στο δίκτυο, κλειδώματα λογαριασμών ή συνθήκες άρνησης παροχής υπηρεσιών", προειδοποιεί η έκθεση Cisco Talos.

"Η κίνηση που σχετίζεται με αυτές τις επιθέσεις έχει αυξηθεί με την πάροδο του χρόνου και είναι πιθανό να συνεχίσει να αυξάνεται".

Ορισμένες υπηρεσίες που χρησιμοποιήθηκαν για τη διεξαγωγή των επιθέσεων περιλαμβάνουν τα TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy και Proxy Rack.

Οι ερευνητές της Cisco αναφέρουν ότι οι ακόλουθες υπηρεσίες αποτελούν ενεργό στόχο αυτής της εκστρατείας:

• Cisco Secure Firewall VPN
• Checkpoint VPN
• Fortinet VPN
• SonicWall VPN
• RD Web Services
• Miktrotik
• Draytek
• Ubiquiti

Η κακόβουλη δραστηριότητα δεν εστιάζει σε συγκεκριμένες βιομηχανίες ή περιοχές, γεγονός που υποδηλώνει μια ευρύτερη στρατηγική τυχαίων, ευκαιριακών επιθέσεων.

Η ομάδα της Talos κοινοποίησε στο GitHub έναν πλήρη κατάλογο δεικτών παραβίασης (IoCs) για αυτή τη δραστηριότητα, συμπεριλαμβανομένων των διευθύνσεων IP των επιτιθέμενων για συμπερίληψη σε λίστες αποκλεισμού και του καταλόγου με τα ονόματα χρήστη και τους κωδικούς πρόσβασης που χρησιμοποιήθηκαν στις επιθέσεις brute force.

Στα τέλη Μαρτίου του 2024, η Cisco προειδοποίησε για ένα κύμα επιθέσεων με ψεκασμό κωδικού πρόσβασης που στοχεύουν υπηρεσίες VPN απομακρυσμένης πρόσβασης (RAVPN) που έχουν ρυθμιστεί σε συσκευές Cisco Secure Firewall.

Οι επιθέσεις Password spraying πρόσβασης είναι πιο αποτελεσματικές ενάντια σε αδύναμες πολιτικές κωδικών πρόσβασης, στοχεύοντας σε πολλά ονόματα χρηστών με ένα μικρό σύνολο κοινώς χρησιμοποιούμενων κωδικών πρόσβασης αντί για brute-forcing μεγάλου λεξικού.

Ο ερευνητής ασφαλείας Aaron Martin απέδωσε αυτές τις επιθέσεις σε ένα botnet κακόβουλου λογισμικού με την ονομασία "Brutus", με βάση τα παρατηρούμενα μοτίβα επίθεσης και το πεδίο εφαρμογής της στόχευσης.

Παραμένει αδιευκρίνιστο αν οι επιθέσεις για τις οποίες προειδοποιεί σήμερα η Cisco αποτελούν συνέχεια των επιθέσεων που είχαν παρατηρηθεί προηγουμένως.

Το BleepingComputer επικοινώνησε με τη Cisco για να διευκρινίσει αν οι δύο δραστηριότητες συνδέονται μεταξύ τους, αλλά δεν ήταν άμεσα διαθέσιμο κάποιο σχόλιο.

πηγή via DeepL

[oxygono]

τι να πεις.......