Търсене
Close this search box.

Cisco предупреждава за атаки с пръскане на пароли, насочени към VPN услуги

Cisco сподели набор от препоръки за клиентите за намаляване на атаките с пръскане на пароли, които са насочени към услугите за отдалечен достъп до VPN (RAVPN), конфигурирани в устройствата Cisco Secure Firewall.

Компанията твърди, че атаките са били насочени и към други VPN услуги за отдалечен достъп и изглежда са част от разузнавателна дейност.

По време на атака с пръскане на парола противникът опитва една и съща парола с няколко акаунта в опит да влезе в системата.

Ръководството на Cisco за смекчаване на последиците изброява индикатори за компрометиране (IoCs) за тази дейност, за да помогне за откриването на атаките и тяхното блокиране.

Това включва невъзможност за установяване на VPN връзки със Cisco Secure Client (AnyConnect), когато е активирана функцията Firewall Posture (HostScan).

Друг признак е необичайното количество заявки за удостоверяване, записани от системните дневници.

Препоръките на Cisco за защита от тези атаки включват:

  • Активиране на регистрирането на данни към отдалечен syslog сървър за подобряване на анализа и корелацията на инцидентите.
  • Защита на VPN профили за отдалечен достъп по подразбиране чрез насочване на неизползваните профили за връзка по подразбиране към потъващ AAA сървър, за да се предотврати неоторизиран достъп.
  • Използване на TCP shun за ръчно блокиране на злонамерени IP адреси.
  • Конфигуриране на ACL на контролната равнина за филтриране на неоторизирани публични IP адреси от иницииране на VPN сесии.
  • Използване на удостоверяване, базирано на сертификати, за RAVPN, което осигурява по-сигурен метод за удостоверяване от традиционните удостоверения.

Връзки към ботнет Brutus

Изследователят в областта на сигурността Аарон Мартин заявява, че наблюдаваната от Cisco активност вероятно е от недокументиран ботнет за зловреден софтуер, който той е нарекъл „Brutus“. Връзката се основава на конкретния обхват на насочване и моделите на атаки.

Мартин е публикувал доклад за ботнета „Brutus“, в който описва необичайните методи за атака, наблюдавани от него и анализатора Крис Грубе от 15 март насам. В доклада се отбелязва, че ботнетът в момента разчита на 20 000 IP адреса по целия свят, обхващащи различни инфраструктури – от облачни услуги до жилищни IP адреси.

Атаките, които Мартин е наблюдавал, първоначално са били насочени към SSLVPN устройства от Fortinet, Palo Alto, SonicWall и Cisco, но сега са се разширили и включват и уеб приложения, които използват Active Directory за удостоверяване.

Brutus сменя своите IP адреси на всеки шест опита, за да избегне откриване и блокиране, като същевременно използва много специфични неразкрити потребителски имена, които не са налични в публичните изхвърляния на данни.

Този аспект на атаките поражда опасения относно начина, по който са получени тези потребителски имена, и може да означава неразкрит пробив или използване на уязвимост от типа „нулев ден“.

Въпреки че операторите на Brutus са неизвестни, Мартин е идентифицирал два IP адреса, които са били свързани с предишни дейности на APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear), група за шпионски заплахи, за която се смята, че работи за руската Служба за външно разузнаване (СВР).

 

 

Източник: e-security.bg

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
Бъдете социални
Още по темата
03/04/2024

Cisco пусна актуализации за...

Няколко продукта на Cisco, включително IOS,...
26/01/2024

Критична грешка в RCE на Ci...

Уязвимостта, проследена като CVE-2024-20253, прави корпоративната...
12/01/2024

Финландия предупреждава, че...

Националният център за киберсигурност на Финландия...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!