Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Cisco warnt vor einem massiven Anstieg von Passwort-Spraying-Angriffen auf VPNs

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 113

Cisco Talos warnte diese Woche vor einem massiven Anstieg von Brute-Force-Angriffen, die auf VPN-Dienste, SSH-Dienste und Authentifizierungsschnittstellen für Webanwendungen abzielen.

In seiner Empfehlung beschrieb das Unternehmen, dass die Angriffe die Verwendung allgemeiner und gültiger Benutzernamen beinhalteten, um zu versuchen, sich ersten Zugriff auf die Umgebungen der Opfer zu verschaffen. Die Ziele dieser Angriffe scheinen zufällig und wahllos zu sein und sind nicht auf einen Industriesektor oder eine Region beschränkt. Cisco sagte.

Das Unternehmen identifizierte die Angriffe als Auswirkungen auf Organisationen, die Cisco Secure Firewall VPN-Geräte und -Technologien von mehreren anderen Anbietern verwenden, darunter Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik und Draytek.

Das Angriffsvolumen könnte zunehmen

„Je nach Zielumgebung können erfolgreiche Angriffe dieser Art zu unbefugtem Netzwerkzugriff, Kontosperrungen oder Denial-of-Service-Zuständen führen“, heißt es in einer Erklärung von Cisco Talos. Der Anbieter stellte fest, dass der Anstieg der Angriffe um den 28. März begann, und warnte vor einem wahrscheinlichen Anstieg des Angriffsvolumens in den kommenden Tagen.

Cisco antwortete nicht sofort auf eine Dark Reading-Anfrage bezüglich der plötzlichen Explosion des Angriffsvolumens und der Frage, ob sie das Werk eines einzelnen Bedrohungsakteurs oder mehrerer Bedrohungsakteure sind. Die Empfehlung identifizierte die Quell-IP-Adressen für den Angriffsverkehr als Proxy-Dienste, die mit Tor, Nexus Proxy, Space Proxies und BigMama Proxy verbunden sind.

Die Empfehlung von Cisco bezog sich auf Kompromittierungsindikatoren – einschließlich IP-Adressen und Anmeldeinformationen im Zusammenhang mit den Angriffen – und wies auch auf die Möglichkeit hin, dass sich diese IP-Adressen im Laufe der Zeit ändern könnten.

Die neue Angriffswelle steht im Einklang mit der wachsendes Interesse unter Bedrohungsakteuren in den VPNs und anderen Technologien, die Unternehmen in den letzten Jahren eingesetzt haben, um die Fernzugriffsanforderungen für Mitarbeiter zu unterstützen. Angreifer – darunter auch nationalstaatliche Akteure – haben es getan heftig ins Visier genommen Schwachstellen in diesen Produkten versuchten, in Unternehmensnetzwerke einzudringen, was zu mehreren Hinweisen aus Ländern wie den USA führte Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), das FBI, das National Security Agency (NSA)Und andere.

VPN-Schwachstellen nehmen explosionsartig zu

Eine Studie von Securin zeigte, wie viele Schwachstellen Forscher, Bedrohungsakteure und Anbieter selbst in VPN-Produkten entdeckt haben erhöht 875% zwischen 2020 und 2024. Sie stellten fest, dass aus 147 Mängeln bei Produkten von acht verschiedenen Anbietern fast 1,800 Mängel bei 78 Produkten wurden. Securin stellte außerdem fest, dass Angreifer 204 der bisher insgesamt offengelegten Schwachstellen als Waffe eingesetzt haben. Davon hatten APT-Gruppen (Advanced Persistent Threat) wie Sandworm, APT32, APT33 und Fox Kitten 26 Schwachstellen ausgenutzt, während Ransomware-Gruppen wie REvil und Sodinokibi weitere 16 Schwachstellen ausnutzten.

Die jüngste Empfehlung von Cisco scheint auf mehrere Berichte zurückzuführen zu sein, die das Unternehmen über Passwort-Spraying-Angriffe erhalten hat, die auf Fernzugriffs-VPN-Dienste abzielen, an denen Produkte von Cisco und mehreren anderen Anbietern beteiligt sind. Bei einem Passwort-Spraying-Angriff versucht ein Angreifer grundsätzlich, sich Brute-Force-Zugriff auf mehrere Konten zu verschaffen, indem er bei allen Standard- und allgemeine Passwörter ausprobiert.

Aufklärungsaufwand?

„Diese Aktivität scheint im Zusammenhang mit Aufklärungsbemühungen zu stehen“, sagte Cisco in einer separaten Mitteilung Beratung vom 15. April das Empfehlungen für Organisationen gegen Passwort-Spraying-Angriffe enthielt. In der Empfehlung wurden drei Symptome eines Angriffs hervorgehoben, die Benutzer von Cisco VPNs beobachten könnten: VPN-Verbindungsfehler, HostScan-Token-Fehler und eine ungewöhnliche Anzahl von Authentifizierungsanfragen.

Das Unternehmen empfahl Unternehmen, die Protokollierung auf ihren Geräten zu aktivieren, Standard-VPN-Profile für den Fernzugriff zu sichern und Verbindungsversuche von böswilligen Quellen über Zugriffskontrolllisten und andere Mechanismen zu blockieren.

„Wichtig ist hier, dass sich dieser Angriff nicht gegen eine Software- oder Hardware-Schwachstelle richtet, für die normalerweise Patches erforderlich sind“, sagte Jason Soroko, Senior Vice President of Product bei Sectigo, in einer per E-Mail versandten Erklärung. Die Angreifer versuchten in diesem Fall, schwache Passwortverwaltungspraktiken auszunutzen, sagte er, daher sollte der Schwerpunkt auf der Implementierung starker Passwörter oder der Implementierung passwortloser Mechanismen zum Schutz des Zugriffs liegen.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.