新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
警告:全球出现大规模针对VPN服务的暴力破解攻击事件
近日,全球范围内出现了大量针对思科、CheckPoint、Fortinet、SonicWall和Ubiquiti设备的VPN和SSH服务的大规模凭据暴力破解活动。
暴力攻击是指使用许多用户名和密码尝试登录帐户或设备,直到找到正确的组合。一旦获得正确的凭据,威胁者就可以利用它们劫持设备或访问内部网络。
但据Cisco Talos称,这种新的暴力攻击活动混合使用了与特定组织相关的有效和通用员工用户名。
研究人员称,他们最早于今年3月18日发现了此类攻击事件,所有攻击都源于TOR出口节点以及其他各种匿名工具和代理服务器,威胁者利用这些工具和代理服务器来躲避拦截。
思科塔洛斯报告警告称:根据目标环境的不同,此类攻击可能会导致未经授权的网络访问、账户锁定或拒绝服务状况。与这些攻击有关的流量随着时间的推移而增加,并可能继续上升。
用于实施攻击的一些服务包括TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxy、Nexus Proxy和Proxy Rack。
思科的研究人员报告称,以下八项服务是此次活动的主要目标:
- 思科安全防火墙VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD网络服务
- Miktrotik
- Draytek
- Ubiquiti
该恶意活动没有具体针对特定行业或地区,表明其采取的是随机、机会性攻击的更广泛策略。
Talos团队在GitHub上共享了该活动的完整入侵指标 (IoC) 列表,其中包括攻击者的 IP 地址(用于列入拦截列表)以及暴力攻击中使用的用户名和密码列表。
今年3月下旬,思科警告称,针对思科安全防火墙设备上配置的远程访问VPN (RAVPN) 服务,出现了一波密码喷射攻击。
这种密码喷射攻击对薄弱的密码很有效,很多用户名使用的都是一小套常用密码,而不是使用大字典暴力破解。
安全研究员Aaron Martin根据观察到的攻击模式和目标范围,将这些攻击归因于一个名为 "Brutus "的恶意软件僵尸网络。
思科此前针对该攻击提出的建议包括:
- 启用对远程syslog服务器的日志记录,以改进事件分析和关联。
- 通过将未使用的默认连接配置文件指向sinkhole AAA服务器来保护默认远程访问VPN配置文件,以防止未经授权的访问。
- 利用TCP回避手动阻止恶意IP。
- 配置控制平面ACL,从启动VPN会话中过滤掉未经授权的公共IP地址。
- 对RAVPN使用基于证书的身份验证,这提供了比传统凭据更安全的身份验证方法。
来源FreeBuf,如有侵权请联系删除。
