Cisco Talos 周二发布的新威胁公告警告称,针对 VPN、SSH 服务和 Web 应用程序身份验证接口的暴力攻击有所增加。
科技巨头安全情报和研究小组思科 Talos 的安全研究人员表示,此类暴力攻击从 3 月 18 日左右开始在全球范围内有所增加。
Cisco Talos 列出了威胁行为者用于实施攻击的近 4,000 个 IP 地址的列表,并建议组织立即阻止这些地址接受批准的入站网络流量。
该列表可以在 GitHub 上找到,还包括攻击中使用的约 2100 个用户名和通用密码。
在暴力攻击中,威胁行为者将通过反复试验,输入随机登录凭据(例如用户名和密码)来获取帐户的访问权限。
在这种情况下,威胁行为者似乎也能够在攻击前进行一些侦察,从而使他们能够更准确地瞄准攻击目标。
黑客经常使用自动暴力程序,可以同时攻击数百个甚至数千个帐户。
或者,为了避免由于重复登录尝试失败而被锁定在目标帐户之外,黑客可以仅针对少数帐户使用数千个密码,也称为密码喷射。
在这种情况下,黑客通常会尝试特定组织的有效用户名以及常见的通用用户名和密码,例如“network”、“vpnadmin”、“Qwerty123”和“Password1”,所有这些都发生在出现在 GitHub 列表中。
Talos 研究人员表示:“根据目标环境,此类成功的攻击可能会导致未经授权的网络访问、帐户锁定或拒绝服务情况。”他指出,“与这些攻击相关的流量随着时间的推移而增加,并且正在增加”。可能还会继续上涨。”
以下是迄今为止已知的受影响服务的列表:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
思科研究人员还发现,大多数攻击都源自 TOR,这是一种代理服务,它通过多个服务器重新路由互联网流量,以掩盖用户的真实 IP 地址,使其无法追踪。
与源 IP 地址关联的其他匿名隧道和代理包括 VPN Gate、IPIDEA 代理、BigMama 代理、Space Proxies、Nexus 代理和 Proxy Rack。
根据该通报,妥协指标 (IOC) 包括用户在尝试连接 VPN 服务时收到错误消息、hostscan 令牌分配失败以及系统日志中大量拒绝身份验证尝试。
例如,Cisco Talos 表示,其 VPN 头端安全防火墙 ASA 显示出“密码喷射攻击的症状,有 10 万或数百万次被拒绝的身份验证尝试”。
为了帮助根除此类恶意活动,Talos 建议组织打开其日志系统并配置“无日志记录隐藏用户名”命令以识别任何未经授权的用户登录尝试。
英特尔团队确实指出,周二发布的流量阻止列表上的 IP 地址可能会发生变化,并且更多服务可能会被确定为受到攻击的影响。
该团队还表示,除了启用日志记录、阻止恶意 IP 地址的连接尝试以及保护默认远程访问 VPN 配置文件之外,保护 VPN 的其他缓解措施将因受影响的服务而异,组织应咨询其特定的 VPN 供应商。
发表评论
您还未登录,请先登录。
登录