Η Cisco συμβουλεύει τους πελάτες για την προστασία τους από password-spraying επιθέσεις που στοχεύουν Remote Access VPN (RAVPN), διαμορφωμένα σε συσκευές Cisco Secure Firewall.
Οι επιθέσεις password-spraying είναι μια τεχνική που χρησιμοποιούν οι hackers για να αποκτήσουν πρόσβαση σε έναν λογαριασμό χρήστη. Αντί να δοκιμάζουν πολλούς διαφορετικούς κωδικούς πρόσβασης σε έναν συγκεκριμένο λογαριασμό, οι επιτιθέμενοι δοκιμάζουν έναν κοινό κωδικό πρόσβασης σε πολλούς λογαριασμούς.
Αυτή η τεχνική είναι αποτελεσματική επειδή πολλοί χρήστες χρησιμοποιούν απλούς και ευρέως χρησιμοποιούμενους κωδικούς πρόσβασης. Επιπλέον, οι επιθέσεις password-spraying αποφεύγουν τα συστήματα ασφαλείας που κλειδώνουν έναν λογαριασμό μετά από έναν ορισμένο αριθμό αποτυχημένων προσπαθειών εισαγωγής κωδικού.
Δείτε επίσης: Η Cisco διορθώνει κρίσιμες ευπάθειες στο IOS XR software
,){kind=link}
Ένα βασικό μέτρο προστασίας είναι η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό. Επιπλέον, η χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφάλειας.
Ο οδηγός της Cisco παραθέτει δείκτες παραβίασης (IoC) για αυτήν την κακόβουλη δραστηριότητα, για να βοηθήσει στον εντοπισμό των επιθέσεων και στον αποκλεισμό τους.
Για παράδειγμα, ένας δείκτης είναι η αδυναμία δημιουργίας συνδέσεων VPN με το Cisco Secure Client (AnyConnect), όταν είναι ενεργοποιημένο το Firewall Posture (HostScan). Ένα άλλο σημάδι είναι ο ασυνήθιστος αριθμός αιτημάτων ελέγχου ταυτότητας, που καταγράφονται από αρχεία καταγραφής συστήματος.
Cisco: Συμβουλές για άμυνα έναντι password-spraying επιθέσεων
- Ενεργοποίηση καταγραφής σε έναν απομακρυσμένο syslog server για τη βελτίωση της ανάλυσης και της συσχέτισης περιστατικών.
- Εξασφάλιση προεπιλεγμένων προφίλ remote access VPN, υποδεικνύοντας τα αχρησιμοποίητα default connection profiles σε έναν sinkhole AAA server για την αποτροπή μη εξουσιοδοτημένης πρόσβασης.
- TCP shun για μη αυτόματο αποκλεισμό κακόβουλων IP.
- Διαμόρφωση control-plane ACLs για φιλτράρισμα μη εξουσιοδοτημένων δημόσιων διευθύνσεων IP κατά την έναρξη περιόδων σύνδεσης VPN.
- Χρήση ελέγχου ταυτότητας βάσει πιστοποιητικών για το RAVPN.
Δείτε επίσης: Cisco: Κυκλοφόρησε Patch για σοβαρή ευπάθεια στο Secure Client
Πώς σχετίζεται το Brutus botnet;
Ο ερευνητής ασφαλείας Aaron Martin είπε στο BleepingComputer ότι οι password-spraying επιθέσεις που έχει εντοπίσει η Cisco, σχετίζονται πιθανότατα με ένα botnet που ονόμασε “Brutus“. Η σύνδεση βασίζεται στο συγκεκριμένο εύρος στόχευσης και στα μοτίβα επίθεσης.
Ο Martin δημοσίευσε μια αναφορά για το botnet Brutus που περιγράφει τις ασυνήθιστες μεθόδους επίθεσης που χρησιμοποιεί. Το botnet βασίζεται επί του παρόντος σε 20.000 διευθύνσεις IP παγκοσμίως, που εκτείνονται σε διάφορες υποδομές, από υπηρεσίες cloud έως οικιακές διευθύνσεις.
Δείτε επίσης: Cisco: Κρίσιμο σφάλμα εκθέτει τις πύλες του Expressway σε επιθέσεις CSRF
Οι password-spraying επιθέσεις, που είδε ο ερευνητής, στόχευαν αρχικά συσκευές SSLVPN από τις Fortinet, Palo Alto, SonicWall και Cisco, αλλά τώρα στοχεύουν και εφαρμογές web, που χρησιμοποιούν την υπηρεσία Active Directory για έλεγχο ταυτότητας.
Το Brutus εναλλάσσει τις IP του κάθε έξι προσπάθειες για να αποφύγει τον εντοπισμό και τον αποκλεισμό.
Αν και οι χειριστές του Brutus είναι άγνωστοι, ο Martin εντόπισε δύο IP που έχουν συσχετιστεί με προηγούμενες δραστηριότητες της APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear), που πιστεύεται ότι εργάζεται για τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών (SVR).
Πηγή: www.bleepingcomputer.com