สัปดาห์นี้ Cisco Talos เตือนถึงการโจมตีแบบ brute-force เพิ่มขึ้นอย่างมาก โดยกำหนดเป้าหมายบริการ VPN, บริการ SSH และอินเทอร์เฟซการตรวจสอบแอปพลิเคชันบนเว็บ
ในคำแนะนำ บริษัทอธิบายว่าการโจมตีเกี่ยวข้องกับการใช้ชื่อผู้ใช้ทั่วไปและถูกต้องเพื่อพยายามเข้าถึงสภาพแวดล้อมของเหยื่อในเบื้องต้น เป้าหมายของการโจมตีเหล่านี้ดูเหมือนจะเป็นการสุ่มและไม่เลือกปฏิบัติ และไม่จำกัดเฉพาะภาคอุตสาหกรรมหรือภูมิศาสตร์ใดๆ ซิสโก้กล่าวว่า.
บริษัทระบุว่าการโจมตีดังกล่าวส่งผลกระทบต่อองค์กรที่ใช้อุปกรณ์และเทคโนโลยี Cisco Secure Firewall VPN จากผู้จำหน่ายรายอื่นๆ รวมถึง Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik และ Draytek
ปริมาณการโจมตีอาจเพิ่มขึ้น
“การโจมตีประเภทนี้ที่ประสบความสำเร็จอาจนำไปสู่การเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต การล็อคบัญชี หรือเงื่อนไขการปฏิเสธการให้บริการ ทั้งนี้ขึ้นอยู่กับสภาพแวดล้อมเป้าหมาย” คำแถลงของ Cisco Talos อธิบาย ผู้ขายตั้งข้อสังเกตว่าการโจมตีเพิ่มขึ้นอย่างรวดเร็วเริ่มขึ้นประมาณวันที่ 28 มีนาคม และเตือนถึงปริมาณการโจมตีที่อาจเพิ่มขึ้นในอีกไม่กี่วันข้างหน้า
Cisco ไม่ตอบสนองต่อการสอบถามของ Dark Reading ในทันทีเกี่ยวกับปริมาณการโจมตีที่เพิ่มขึ้นอย่างกะทันหัน และไม่ว่าสิ่งเหล่านี้จะเป็นผลงานของผู้แสดงภัยคุกคามเพียงรายเดียวหรือหลายรายก็ตาม คำแนะนำระบุที่อยู่ IP ต้นทางสำหรับการรับส่งข้อมูลการโจมตีเป็นบริการพร็อกซีที่เกี่ยวข้องกับ Tor, Nexus Proxy, Space Proxies และ BigMama Proxy
คำแนะนำของ Cisco เชื่อมโยงกับตัวบ่งชี้การประนีประนอม รวมถึงที่อยู่ IP และข้อมูลประจำตัวที่เกี่ยวข้องกับการโจมตี ขณะเดียวกันก็สังเกตถึงโอกาสที่ที่อยู่ IP เหล่านี้จะเปลี่ยนแปลงเมื่อเวลาผ่านไป
การโจมตีระลอกใหม่สอดคล้องกับ ความสนใจที่เพิ่มขึ้นในหมู่ผู้แสดงภัยคุกคาม ใน VPN และเทคโนโลยีอื่นๆ ที่องค์กรได้ปรับใช้ในช่วงไม่กี่ปีที่ผ่านมาเพื่อรองรับข้อกำหนดการเข้าถึงระยะไกลสำหรับพนักงาน ผู้โจมตี — รวมถึงนักแสดงระดับประเทศ — ต่างก็มี มุ่งเป้าอย่างโหดเหี้ยม ช่องโหว่ในผลิตภัณฑ์เหล่านี้เพื่อพยายามเจาะเข้าสู่เครือข่ายองค์กร ทำให้เกิดคำแนะนำหลายประการจากสหรัฐอเมริกา สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA), FBI, the สภาความมั่นคงแห่งชาติ (เอ็นเอสเอ)และอื่น ๆ
ช่องโหว่ VPN ระเบิดเป็นจำนวน
การศึกษาโดย Securin แสดงให้เห็นจำนวนช่องโหว่ที่นักวิจัย ผู้ดำเนินการภัยคุกคาม และผู้ขายเองได้ค้นพบในผลิตภัณฑ์ VPN % 875 เพิ่มขึ้น ระหว่างปี 2020 ถึง 2024 พวกเขาตั้งข้อสังเกตว่าข้อบกพร่อง 147 รายการในผลิตภัณฑ์ของผู้ขาย 1,800 รายเพิ่มขึ้นเป็นข้อบกพร่องเกือบ 78 รายการในผลิตภัณฑ์ 204 รายการได้อย่างไร Securin ยังพบว่าผู้โจมตีใช้ช่องโหว่ที่เปิดเผยทั้งหมดถึง 32 รายการ ในจำนวนนี้ กลุ่มภัยคุกคามขั้นสูงแบบถาวร (APT) เช่น Sandworm, APT33, APT26 และ Fox Kitten ได้ใช้ประโยชน์จากข้อบกพร่อง 16 รายการ ในขณะที่กลุ่มแรนซัมแวร์เช่น REvil และ Sodinokibi ได้ใช้ประโยชน์จากข้อบกพร่องอีก XNUMX รายการ
คำแนะนำล่าสุดของ Cisco ดูเหมือนจะเกิดจากรายงานหลายฉบับที่บริษัทได้รับเกี่ยวกับการโจมตีแบบฉีดรหัสผ่านที่กำหนดเป้าหมายบริการ VPN การเข้าถึงระยะไกลที่เกี่ยวข้องกับผลิตภัณฑ์ของ Cisco และจากผู้ขายรายอื่นหลายราย ในการโจมตีแบบฉีดรหัสผ่าน โดยทั่วไปแล้วฝ่ายตรงข้ามจะพยายามเข้าถึงบัญชีหลายบัญชีโดยลองใช้รหัสผ่านเริ่มต้นและรหัสผ่านทั่วไปในทุกบัญชี
ความพยายามในการลาดตระเวน?
“กิจกรรมนี้ดูเหมือนจะเกี่ยวข้องกับความพยายามในการลาดตระเวน” ซิสโก้กล่าวในรายงานอีกฉบับหนึ่ง คำแนะนำวันที่ 15 เมษายน ที่เสนอคำแนะนำสำหรับองค์กรต่อต้านการโจมตีด้วยการพ่นรหัสผ่าน คำแนะนำดังกล่าวเน้นย้ำถึงอาการ 3 ประการของการโจมตีที่ผู้ใช้ Cisco VPN อาจสังเกตเห็น: การเชื่อมต่อ VPN ล้มเหลว โทเค็น HostScan ล้มเหลว และคำขอตรวจสอบความถูกต้องจำนวนผิดปกติ
บริษัทแนะนำให้องค์กรเปิดใช้งานการเข้าสู่ระบบบนอุปกรณ์ของตน รักษาความปลอดภัยโปรไฟล์ VPN การเข้าถึงระยะไกลเริ่มต้น และบล็อกความพยายามในการเชื่อมต่อจากแหล่งที่เป็นอันตรายผ่านรายการควบคุมการเข้าถึงและกลไกอื่น ๆ
“สิ่งสำคัญคือการโจมตีครั้งนี้ไม่ได้ต่อต้านช่องโหว่ของซอฟต์แวร์หรือฮาร์ดแวร์ ซึ่งโดยปกติต้องใช้แพตช์” Jason Soroko รองประธานอาวุโสฝ่ายผลิตภัณฑ์ของ Sectigo กล่าวในแถลงการณ์ทางอีเมล ผู้โจมตีในกรณีนี้กำลังพยายามที่จะใช้ประโยชน์จากแนวทางปฏิบัติในการจัดการรหัสผ่านที่ไม่รัดกุม เขากล่าว ดังนั้นควรมุ่งเน้นไปที่การใช้รหัสผ่านที่รัดกุมหรือใช้กลไกที่ไม่ต้องใช้รหัสผ่านเพื่อปกป้องการเข้าถึง
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
