Witold Kepinski - 17 april 2024

Cisco Talos: brute-force-activiteit gericht op VPN en SSH services

Cisco Talos houdt sinds ten minste 18 maart 2024 actief toezicht op een wereldwijde toename van brute-force-aanvallen tegen verschillende doelen, waaronder Virtual Private Network (VPN)-services, authenticatie-interfaces voor webapplicaties en SSH-services.

Cisco Talos: brute-force-activiteit gericht op VPN en SSH services image

Talos meldt: 'Deze aanvallen lijken allemaal afkomstig te zijn van TOR-exitknooppunten en een reeks andere anonimiserende tunnels en proxy's.

Afhankelijk van de doelomgeving kunnen succesvolle aanvallen van dit type leiden tot ongeoorloofde netwerktoegang, accountblokkering of denial-of-service-omstandigheden. Het verkeer dat verband houdt met deze aanvallen is in de loop van de tijd toegenomen en zal waarschijnlijk blijven stijgen. Bekende getroffen services worden hieronder vermeld. Aanvullende services kunnen echter door deze aanvallen worden beïnvloed.

  • Cisco Secure Firewall-VPN
  • Checkpoint-VPN
  • Fortinet VPN
  • SonicWall-VPN
  • RD-webservices
  • Miktrotik
  • Draytek
  • Ubiquiti

Bij de brute force-pogingen worden generieke gebruikersnamen en geldige gebruikersnamen voor specifieke organisaties gebruikt. Het lijkt erop dat deze aanvallen willekeurig zijn gericht en niet op een bepaalde regio of bedrijfstak zijn gericht. De bron-IP-adressen voor dit verkeer worden doorgaans geassocieerd met proxyservices, waaronder, maar niet beperkt tot:

  • TOR
  • VPN-poort
  • IPIDEA-proxy
  • BigMama-proxy
  • Ruimteproxy's
  • Nexus-proxy
  • Proxy-rek

De bovenstaande lijst is niet-uitputtend, aangezien aanvullende diensten kunnen worden gebruikt door bedreigingsactoren.

Vanwege de aanzienlijke toename en het hoge verkeersvolume hebben we de bekende bijbehorende IP-adressen aan onze blokkeerlijst toegevoegd. Het is belangrijk op te merken dat de bron-IP-adressen voor dit verkeer waarschijnlijk zullen veranderen.

Begeleiding

Omdat deze aanvallen zich op verschillende VPN-services richten, zullen de maatregelen variëren afhankelijk van de getroffen service. Voor Cisco VPN-services voor externe toegang kunt u begeleiding en aanbevelingen vinden in een recente ondersteuningsblog van Cisco:

Best practices tegen wachtwoordspray-aanvallen die van invloed zijn op VPN-services voor externe toegang

IOC's

We nemen de gebruikersnamen en wachtwoorden die bij deze aanvallen worden gebruikt op in de IOC's ter bewustwording. IP-adressen en inloggegevens die aan deze aanvallen zijn gekoppeld, zijn hier te vinden in onze GitHub-repository.'

Cisco Talos wil Brandon White van Cisco Talos en Phillip Schafer, Mike Moran en Becca Lynch van het Duo Security Research-team bedanken voor hun onderzoek dat heeft geleid tot de identificatie van deze aanvallen.

Axians 12/11/2024 t/m 26/11/2024 BN+BW