Cisco Talos ostrzega przed zmasowanymi atakami brute-force na usługi VPN
17.04.2024
Badacze z zespołu Cisco Talos ostrzegają przed zakrojonymi na szeroką skalę atakami typu brute-force ukierunkowanych głównie na usługi VPN, ale także na interfejsy uwierzytelniania aplikacji internetowych i usług SSH.
W zależności od środowiska atakowanego celu udany atak tego typu może prowadzić do nieautoryzowanego dostępu do sieci, blokady kont lub odmowy usługi (DoS). Kampania aktywnie atakuje następujące usług:
- Cisco Security Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Mikrotik
- Draytek
- Ubiquiti
„Próby brutalnego wymuszenia wykorzystują ogólne nazwy użytkowników i prawidłowe nazwy użytkowników dla określonych organizacji. Wydaje się, że ataki te są ukierunkowane na masową skalę i nie są skierowane na konkretny region lub branżę”. – czytamy w poradniku opublikowanym przez Cisco Talos.
Badacze informują, że ataki są obserwowane od 18 marca 2024r., oraz że źródłem wszystkich ataków są węzły wyjściowe TOR oraz szeregu innych tuneli anonimizujących i serwerów proxy. Na podstawie obserwacji przewidują także, że intensywność tych ataków będzie stale rosła z czasem. Adresy źródłowe dla tego ruchu są zwykle kojarzone z usługami proxy, które obejmują między innymi:
- TOR
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
Talos udostępnia na swoim repozytorium GitHub listę IoC zawierającą wykryte adresy IP wykorzystywane do ataków, a także listę użytkowników i haseł, które zostały zaobserwowane przy próbach logowania.
Źródła i przydatne linki
- https://blog.talosintelligence.com/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials/
- https://github.com/Cisco-Talos/IOCs/tree/main/2024/04
Krzysztof Kopeć
Krzysztof Kopeć jest absolwentem wydziału Elektroniki Politechniki Wrocławskiej. Od lat pilnuje porządku wśród zer i jedynek poruszających się w miedzi i w powietrzu. W swojej karierze skupia się aktualnie na bezpieczeństwie i kontroli dostępu do sieci oraz jej monitorowaniu. Jako Inżynier Systemowy w firmie Advatech najbardziej lubi podejście kompleksowe do swoich projektów. Wspiera klientów przez całość projektu poczynając od analizy potrzeb, poprzez projekt i wdrożenie, a kończąc na wsparciu utrzymania, podczas którego chętnie podpowie co jeszcze można zrobić, żeby podnieść jakość i bezpieczeństwo infrastruktury klienta.