Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Cisco cảnh báo về sự gia tăng lớn các cuộc tấn công rải mật khẩu vào VPN

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 114

Cisco Talos tuần này đã cảnh báo về sự gia tăng lớn các cuộc tấn công bạo lực nhắm vào các dịch vụ VPN, dịch vụ SSH và giao diện xác thực ứng dụng Web.

Trong tư vấn của mình, công ty mô tả các cuộc tấn công liên quan đến việc sử dụng tên người dùng chung và hợp lệ để thử và giành quyền truy cập ban đầu vào môi trường nạn nhân. Mục tiêu của các cuộc tấn công này dường như là ngẫu nhiên, bừa bãi và không giới hạn ở bất kỳ ngành hoặc khu vực địa lý nào, Cisco anh ấy nói.

Công ty đã xác định các cuộc tấn công đang tác động đến các tổ chức sử dụng các thiết bị và công nghệ VPN Tường lửa An toàn của Cisco từ một số nhà cung cấp khác, bao gồm Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik và Draytek.

Khối lượng tấn công có thể tăng lên

Tuyên bố của Cisco Talos giải thích: “Tùy thuộc vào môi trường mục tiêu, các cuộc tấn công thành công thuộc loại này có thể dẫn đến truy cập mạng trái phép, khóa tài khoản hoặc tình trạng từ chối dịch vụ”. Nhà cung cấp lưu ý rằng các cuộc tấn công gia tăng bắt đầu vào khoảng ngày 28 tháng XNUMX và cảnh báo về khả năng gia tăng số lượng cuộc tấn công trong những ngày tới.

Cisco đã không trả lời ngay lập tức câu hỏi của Dark Reading về sự bùng nổ đột ngột về số lượng cuộc tấn công và liệu chúng là tác phẩm của một tác nhân đe dọa hay nhiều tác nhân đe dọa. Lời khuyên của họ đã xác định các địa chỉ IP nguồn cho lưu lượng tấn công là các dịch vụ proxy được liên kết với Tor, Nexus Proxy, Space Proxy và BigMama Proxy.

Lời khuyên của Cisco liên quan đến các dấu hiệu xâm phạm — bao gồm địa chỉ IP và thông tin xác thực liên quan đến các cuộc tấn công — đồng thời lưu ý khả năng các địa chỉ IP này thay đổi theo thời gian.

Làn sóng tấn công mới phù hợp với sự quan tâm ngày càng tăng của các tác nhân đe dọa trong VPN và các công nghệ khác mà các tổ chức đã triển khai trong những năm gần đây để hỗ trợ các yêu cầu truy cập từ xa cho nhân viên. Những kẻ tấn công - bao gồm cả các chủ thể quốc gia - có nhắm mục tiêu dữ dội các lỗ hổng trong các sản phẩm này nhằm cố gắng xâm nhập vào mạng doanh nghiệp, khiến nhiều nước như Hoa Kỳ phải đưa ra nhiều lời khuyên Cơ quan an ninh cơ sở hạ tầng và an ninh mạng (CISA), FBI, Cơ quan An ninh Quốc gia (NSA), Và những người khác.

Lỗ hổng VPN bùng nổ về số lượng

Một nghiên cứu của Securin cho thấy số lượng lỗ hổng mà các nhà nghiên cứu, kẻ đe dọa và chính nhà cung cấp đã phát hiện ra trong các sản phẩm VPN tăng 875% từ năm 2020 đến năm 2024. Họ ghi nhận 147 sai sót trên sản phẩm của 1,800 nhà cung cấp khác nhau đã tăng lên gần 78 sai sót trên 204 sản phẩm. Securin cũng phát hiện ra rằng những kẻ tấn công đã vũ khí hóa 32 trong tổng số lỗ hổng được tiết lộ cho đến nay. Trong số này, các nhóm đe dọa dai dẳng (APT) nâng cao như Sandworm, APT33, APT26 và Fox Kitten đã khai thác 16 lỗ hổng, trong khi các nhóm ransomware như REvil và Sodinokibi đã khai thác XNUMX lỗ hổng khác.

Lời khuyên mới nhất của Cisco dường như xuất phát từ nhiều báo cáo mà công ty nhận được về các cuộc tấn công rải mật khẩu nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa liên quan đến các sản phẩm của Cisco và các sản phẩm của nhiều nhà cung cấp khác. Trong một cuộc tấn công rải mật khẩu, về cơ bản, kẻ tấn công cố gắng giành quyền truy cập mạnh mẽ vào nhiều tài khoản bằng cách thử các mật khẩu mặc định và phổ biến trên tất cả các tài khoản đó.

Nỗ lực trinh sát?

“Hoạt động này dường như có liên quan đến các nỗ lực trinh sát”, Cisco cho biết trong một báo cáo riêng. Tư vấn ngày 15 tháng XNUMX đã đưa ra khuyến nghị cho các tổ chức chống lại các cuộc tấn công rải mật khẩu. Lời khuyên nêu bật ba dấu hiệu của một cuộc tấn công mà người dùng VPN của Cisco có thể quan sát thấy: lỗi kết nối VPN, lỗi mã thông báo HostScan và số lượng yêu cầu xác thực bất thường.

Công ty khuyến nghị các tổ chức nên kích hoạt đăng nhập trên thiết bị của họ, bảo mật cấu hình VPN truy cập từ xa mặc định và chặn các nỗ lực kết nối từ các nguồn độc hại thông qua danh sách kiểm soát truy cập và các cơ chế khác.

Jason Soroko, phó chủ tịch cấp cao về sản phẩm tại Sectigo, cho biết trong một tuyên bố gửi qua email: “Điều quan trọng ở đây là cuộc tấn công này không nhằm vào một lỗ hổng phần mềm hoặc phần cứng thường yêu cầu các bản vá”. Ông nói, những kẻ tấn công trong trường hợp này đang cố gắng lợi dụng các biện pháp quản lý mật khẩu yếu, vì vậy cần tập trung vào việc triển khai mật khẩu mạnh hoặc triển khai các cơ chế không cần mật khẩu để bảo vệ quyền truy cập.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.