熱門資訊> 正文
2024-03-29 00:50
https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/
思科為客户提供了一系列建議,以減輕針對思科安全防火牆設備上配置的遠程訪問VPN(RAVPN)服務的密碼噴射攻擊。
該公司表示,這些攻擊還針對其他遠程訪問VPN服務,似乎是偵察活動的一部分。
在密碼噴射攻擊期間,攻擊者使用多個帳户嘗試相同的密碼以嘗試登錄。
思科的緩解指南列出了此活動的危害指標(IOC),以幫助檢測和阻止攻擊。這包括在啟用防火牆狀態(HostScan)時無法與思科安全客户端(AnyConnect)建立VPN連接。
另一個跡象是系統日誌記錄的身份驗證請求數量異常多。
思科對防禦這些攻擊的建議包括:
安全研究員Aaron Martin告訴BleepingComputer,思科觀察到的活動很可能來自一個他命名為Brutus的未經記錄的惡意軟件僵屍網絡。這種聯繫基於特定的目標範圍和攻擊模式。Martin發佈了一份關於Brutus僵屍網絡的報告,描述了他和分析師Chris Grube自3月15日以來觀察到的不尋常的攻擊方法。報告指出,該僵屍網絡目前依賴於全球2萬個IP地址,涵蓋從雲服務到住宅IP的各種基礎設施。
Martin觀察到的攻擊最初針對Fortinet、Palo Alto、SonicWall和思科的SSLVPN設備,但現在擴展到也包括使用Active Directory進行身份驗證的Web應用程序。Brutus每六次嘗試輪換其IP以逃避檢測和阻止,同時它使用在公共數據轉儲中不可用的非常具體的未公開用户名。
攻擊的這一方面引發了人們對這些用户名是如何獲得的擔憂,並可能表明存在未披露的漏洞或利用零日漏洞。 雖然Brutus的運營商尚不清楚,但Martin已經確定了兩個與APT29(午夜暴雪、nobelium、舒適熊)的活動有關的IP,APT29是一個據信為俄羅斯外國情報局(SVR)工作的間諜威脅組織。