Η Cisco προειδοποιεί για credential brute-force επιθέσεις μεγάλης κλίμακας, που στοχεύουν υπηρεσίες VPN και SSH σε συσκευές Cisco, CheckPoint, Fortinet, SonicWall και Ubiquiti.
Κατά τη διάρκεια αυτών των επιθέσεων, γίνονται προσπάθειες σύνδεσης σε έναν λογαριασμό ή συσκευή με τη χρήση πολλών ονομάτων χρήστη και κωδικών πρόσβασης μέχρι να βρεθεί ο σωστός συνδυασμός. Μόλις οι επιτιθέμενοι βρουν τα σωστά credentials, μπορούν να παραβιάσουν μια συσκευή ή να αποκτήσουν πρόσβαση στο εσωτερικό δίκτυο.
Σύμφωνα με τη Cisco Talos, αυτή η νέα καμπάνια brute force χρησιμοποιεί έναν συνδυασμό έγκυρων και γενικών ονομάτων χρήστη εργαζομένων που σχετίζονται με συγκεκριμένους οργανισμούς.
Δείτε επίσης: Cisco Duo: Επίθεση σε τρίτο πάροχο εξέθεσε SMS MFA logs
Οι επιθέσεις φέρεται να ξεκίνησαν στις 18 Μαρτίου 2024 και όλες προέρχονται από TOR exit nodes και διάφορα άλλα εργαλεία anonymization και proxies, που χρησιμοποιούν οι φορείς απειλών για να αποφύγουν τα blocks.
“Ανάλογα με το περιβάλλον στόχο, επιτυχημένες επιθέσεις αυτού του τύπου μπορεί να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση στο δίκτυο, κλείδωμα λογαριασμού ή συνθήκες denial-of-service“, προειδοποιεί η Cisco Talos.
Η Cisco λέει ότι ορισμένες υπηρεσίες που χρησιμοποιούνται για τη διεξαγωγή των επιθέσεων brute-force είναι οι TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxy, Nexus Proxy και Proxy Rack.
Οι ερευνητές αναφέρουν ότι οι ακόλουθες υπηρεσίες έχουν βρεθεί στο στόχαστρο της νέας καμπάνιας:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
Οι ερευνητές παρατήρησαν ότι οι επιτιθέμενοι δεν στοχεύουν συγκεκριμένους κλάδους ή περιοχές, κάτι που δείχνει τυχαίες ή ευκαιριακές επιθέσεις.
Δείτε επίσης: Cisco: Password-spraying επιθέσεις στοχεύουν VPN υπηρεσίες
Η ομάδα Talos έδωσε περισσότερες λεπτομέρειες για αυτήν την καμπάνια στο GitHub, συμπεριλαμβανομένων των διευθύνσεων IP των εισβολέων και της λίστας ονομάτων χρήστη και κωδικών πρόσβασης που χρησιμοποιούνται στις επιθέσεις
.Brute-Force επιθέσεις: Προστασία
Οι οργανισμοί μπορούν να προστατεύσουν τα δεδομένα τους από επιθέσεις Brute-Force μέσω της χρήσης σύνθετων κωδικών πρόσβασης. Οι κωδικοί πρόσβασης που περιέχουν μια μείξη από γράμματα, αριθμούς και σύμβολα είναι πιο δύσκολο να παραβιαστούν από τους hackers.
Επιπλέον, η χρήση πολιτικών περιορισμού των προσπαθειών σύνδεσης μπορεί να αποτρέψει τις επιθέσεις Brute-Force. Αυτό μπορεί να περιλαμβάνει τον περιορισμό των αποτυχημένων προσπαθειών σύνδεσης, πριν απαιτηθεί η επαναφορά του κωδικού πρόσβασης, ή την εισαγωγή ενός χρονικού διαστήματος αναμονής μετά από έναν ορισμένο αριθμό αποτυχημένων προσπαθειών.
Δείτε επίσης: Η Cisco διορθώνει κρίσιμες ευπάθειες στο IOS XR software
Η χρήση 2FA είναι επίσης μια αποτελεσματική μέθοδος για την προστασία από τις επιθέσεις Brute-Force. Αυτό απαιτεί από τους χρήστες να παρέχουν δύο διαφορετικά στοιχεία απόδειξης ταυτότητας για να συνδεθούν, κάτι που καθιστά πολύ πιο δύσκολη την παραβίαση του λογαριασμού.
Τέλος, η εκπαίδευση των χρηστών για τη σημασία της χρήσης σύνθετων κωδικών πρόσβασης και της αλλαγής τους τακτικά μπορεί να βοηθήσει στην προστασία από τις επιθέσεις Brute-Force. Είναι σημαντικό οι χρήστες να κατανοούν τους κινδύνους που συνδέονται με τη χρήση απλών ή επαναλαμβανόμενων κωδικών πρόσβασης.
Πηγή: www.bleepingcomputer.com