Zmasowane ataki na VPN

Cisco Talos ostrzega przed zmasowanymi atakami brute-force na usługi VPN

17.04.2024

Badacze z zespołu Cisco Talos ostrzegają przed zakrojonymi na szeroką skalę atakami typu brute-force ukierunkowanych głównie na usługi VPN, ale także na interfejsy uwierzytelniania aplikacji internetowych i usług SSH.

W zależności od środowiska atakowanego celu udany atak tego typu może prowadzić do nieautoryzowanego dostępu do sieci, blokady kont lub odmowy usługi (DoS). Kampania aktywnie atakuje następujące usług:

• Cisco Security Firewall VPN
• Checkpoint VPN
• Fortinet VPN
• SonicWall VPN
• RD Web Services
• Mikrotik
• Draytek
• Ubiquiti

„Próby brutalnego wymuszenia wykorzystują ogólne nazwy użytkowników i prawidłowe nazwy użytkowników dla określonych organizacji. Wydaje się, że ataki te są ukierunkowane na masową skalę i nie są skierowane na konkretny region lub branżę”. – czytamy w poradniku opublikowanym przez Cisco Talos.

Badacze informują, że ataki są obserwowane od 18 marca 2024r., oraz że źródłem wszystkich ataków są węzły wyjściowe TOR oraz szeregu innych tuneli anonimizujących i serwerów proxy. Na podstawie obserwacji przewidują także, że intensywność tych ataków będzie stale rosła z czasem. Adresy źródłowe dla tego ruchu są zwykle kojarzone z usługami proxy, które obejmują między innymi:

• TOR
• VPN Gate
• IPIDEA Proxy
• BigMama Proxy
• Space Proxies
• Nexus Proxy
• Proxy Rack

Talos udostępnia na swoim repozytorium GitHub listę IoC zawierającą wykryte adresy IP wykorzystywane do ataków, a także listę użytkowników i haseł, które zostały zaobserwowane przy próbach logowania.