Cisco mette in guardia contro attacchi brute-force su larga scala contro i servizi VPN
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 17 Aprile 2024
Tags: #vpn, #bruteforce
Tags: #vpn, #bruteforce
Cisco mette in guardia contro attacchi brute-force su larga scala contro i servizi VPN
Cisco mette in guardia contro una campagna di forzatura bruta delle credenziali su larga scala che prende di mira i servizi VPN e SSH sui dispositivi Cisco, CheckPoint, Fortinet, SonicWall e Ubiquiti in tutto il mondo.
Un attacco di forza bruta è il processo mediante il quale si tenta di accedere a un account o dispositivo utilizzando molti nomi utente e password finché non viene trovata la combinazione corretta. Una volta che hanno accesso alle credenziali corrette, gli autori delle minacce possono utilizzarle per dirottare un dispositivo o ottenere l'accesso alla rete interna.
Secondo Cisco Talos, questa nuova campagna di forza bruta utilizza un mix di nomi utente di dipendenti validi e generici relativi a organizzazioni specifiche.
I ricercatori affermano che gli attacchi sono iniziati il 18 marzo 2024, mentre tutti gli attacchi provengono da nodi di uscita TOR e da vari altri strumenti e proxy di anonimizzazione, che gli autori delle minacce utilizzano per eludere i blocchi.
"A seconda dell'ambiente preso di mira, attacchi riusciti di questo tipo possono portare ad accessi non autorizzati alla rete, blocchi degli account o condizioni di negazione del servizio", avverte il rapporto Cisco Talos.
"Il traffico relativo a questi attacchi è aumentato con il tempo ed è probabile che continui ad aumentare."
Alcuni servizi utilizzati per condurre gli attacchi includono TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy e Proxy Rack.
I ricercatori di Cisco riferiscono che i seguenti servizi sono attivamente presi di mira da questa campagna:
- VPN firewall sicuro Cisco
- Punto di controlloVPN
- VPN Fortinet
- VPN SonicWall
- Servizi Web Desktop remoto
- Miktrotik
- Draytek
- Ubiquiti
L’attività dannosa non si concentra specificatamente su particolari settori o regioni, suggerendo una strategia più ampia di attacchi casuali e opportunistici.
Il team di Talos ha condiviso un elenco completo di indicatori di compromissione (IoC) per questa attività su GitHub, inclusi gli indirizzi IP degli aggressori da includere nelle blocklist e l'elenco di nomi utente e password utilizzati negli attacchi di forza bruta.
Possibili collegamenti ad attacchi precedenti
Alla fine di marzo 2024, Cisco ha avvertito di un’ondata di attacchi di password spraying mirati ai servizi Remote Access VPN (RAVPN) configurati sui dispositivi Cisco Secure Firewall.
Gli attacchi di password spraying sono più efficaci contro le politiche di password deboli, prendendo di mira molti nomi utente con un piccolo set di password comunemente utilizzate invece di forzare brute di dizionari di grandi dimensioni.
Il ricercatore di sicurezza Aaron Martin ha attribuito questi attacchi a una botnet malware chiamata "Brutus", in base ai modelli di attacco osservati e all'ambito di targeting.
Non è ancora stato verificato se gli attacchi di cui Cisco mette in guardia oggi siano la continuazione di quelli visti in precedenza.
BleepingComputer ha contattato Cisco per chiarire se le due attività sono collegate, ma non è stato immediatamente disponibile un commento.