Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Cisco varnar för en massiv ökning av lösenordssprutningsattacker på VPN

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 114

Cisco Talos varnade denna vecka för en massiv ökning av brute-force-attacker riktade mot VPN-tjänster, SSH-tjänster och autentiseringsgränssnitt för webbapplikationer.

I sin rådgivning beskrev företaget attackerna som att de involverade användningen av generiska och giltiga användarnamn för att försöka få initial tillgång till offermiljöer. Målen för dessa attacker verkar vara slumpmässiga och urskillningslösa och inte begränsade till någon industrisektor eller geografi, sa Cisco.

Företaget identifierade att attackerna påverkade organisationer som använder Cisco Secure Firewall VPN-enheter och teknologier från flera andra leverantörer, inklusive Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik och Draytek.

Attackvolymerna kan öka

"Beroende på målmiljön kan framgångsrika attacker av den här typen leda till obehörig nätverksåtkomst, kontolåsning eller överbelastningsvillkor", förklarade ett Cisco Talos uttalande. Säljaren noterade att ökningen av attacker började runt den 28 mars och varnade för en trolig ökning av attackvolymer under de kommande dagarna.

Cisco svarade inte omedelbart på en Dark Reading-förfrågan om den plötsliga explosionen i attackvolymer och om de är ett verk av en enda hotaktör eller flera hotaktörer. Dess rådgivning identifierade käll-IP-adresserna för attacktrafiken som proxytjänster associerade med Tor, Nexus Proxy, Space Proxies och BigMama Proxy.

Ciscos råd kopplade till indikatorer på kompromiss – inklusive IP-adresser och referenser förknippade med attackerna – samtidigt som man noterade potentialen för dessa IP-adresser att förändras över tiden.

Den nya vågen av attacker överensstämmer med ökande intresse bland hotaktörer i VPN och andra tekniker som organisationer har implementerat de senaste åren för att stödja krav på fjärråtkomst för anställda. Angripare – inklusive nationalstatsaktörer – har våldsamt målinriktad sårbarheter i dessa produkter för att försöka bryta sig in i företagsnätverk, vilket föranleder flera råd från sådana som USA Byrån för cybersäkerhet och infrastruktur (CISA), FBI, den National Security Agency (NSA), och andra.

VPN-sårbarheter exploderar i antal

En studie av Securin visade antalet sårbarheter som forskare, hotaktörer och leverantörer själva har upptäckt i VPN-produkter ökat 875% mellan 2020 och 2024. De noterade hur 147 brister i åtta olika leverantörers produkter växte till nästan 1,800 78 brister i 204 produkter. Securin fann också att angripare beväpnade 32 av de totala avslöjade sårbarheterna hittills. Av detta hade avancerade persistent hot-grupper (APT) som Sandworm, APT33, APT26 och Fox Kitten utnyttjat 16 brister, medan ransomware-grupper som REvil och Sodinokibi hade exploateringar för ytterligare XNUMX.

Ciscos senaste råd verkar ha härrört från flera rapporter som företaget fått om lösenordssprejsattacker riktade mot VPN-tjänster med fjärråtkomst som involverar Ciscos produkter och de från flera andra leverantörer. I en attack med lösenordssprayning försöker en motståndare i princip få brute-force-åtkomst till flera konton genom att prova standardlösenord och vanliga lösenord för dem alla.

Spaningsinsats?

"Denna aktivitet verkar vara relaterad till spaningsinsatser," sa Cisco i en separat 15 april rådgivande som erbjöd rekommendationer för organisationer mot attacker med lösenordssprayning. Rådgivningen lyfte fram tre symptom på en attack som användare av Cisco VPN kan observera: VPN-anslutningsfel, HostScan-tokenfel och ett ovanligt antal autentiseringsförfrågningar.

Företaget rekommenderade att organisationer aktiverar inloggning på sina enheter, säkerställer standardfjärråtkomst-VPN-profiler och blockerar anslutningsförsök från skadliga källor via åtkomstkontrollistor och andra mekanismer.

"Vad som är viktigt här är att den här attacken inte är mot en mjukvaru- eller hårdvarasårbarhet, som vanligtvis kräver patchar," sa Jason Soroko, senior vice president för produkt på Sectigo, i ett e-postmeddelande. Angriparna i det här fallet försöker dra fördel av svaga lösenordshanteringsmetoder, sa han, så fokus bör ligga på att implementera starka lösenord eller implementera lösenordslösa mekanismer för att skydda åtkomst.

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.