Cisco Talos本周发出警告,称针对VPN服务、SSH服务和Web应用程序认证接口的暴力破解攻击大幅增加。该公司在其公告中描述了这些攻击的特点,即使用通用和有效的用户名以尝试获得对受害环境的初步访问。Cisco表示,这些攻击的目标似乎是随机和无差别的,且不受任何行业或地理区域的限制。
攻击的影响
根据Cisco的调查,这些攻击影响了使用Cisco Secure Firewall VPN设备和其他多个厂商技术的组织,包括Checkpoint VPN、Fortinet VPN、SonicWall VPN、Mikrotik和Draytek。Cisco Talos表示:“根据目标环境的不同,此类成功攻击可能导致未经授权的网络访问、账户锁定或拒绝服务状态。”
攻击量可能增加
Cisco指出,自3月28日起,攻击的激增趋势已经开始,并警告未来几天攻击量可能会进一步增加。关于攻击量突然爆炸的原因,Cisco尚未立即回应Dark Reading的询问,也未说明这些攻击是否为单一威胁行为者或多个威胁行为者所为。该公告还识别了攻击流量的来源IP地址,这些地址与Tor、Nexus Proxy、Space Proxies和BigMama Proxy等代理服务相关。
VPN漏洞数量激增
根据Securin的研究,研究人员、威胁行为者和厂商自己发现的VPN产品漏洞数量在2020至2024年间增加了875%。研究指出,来自八个不同厂商的147个漏洞增长到78个产品的近1800个漏洞。Securin还发现,攻击者已将204个已披露的漏洞武器化,其中包括Sandworm、APT32、APT33和Fox Kitten等高级持续威胁(APT)组织所利用的26个漏洞,以及REvil和Sodinokibi等勒索软件组织所利用的16个漏洞。
密码喷射攻击
Cisco的最新公告似乎源于该公司收到的关于针对远程访问VPN服务的密码喷射攻击的多份报告,这些攻击涉及Cisco的产品及其他多个厂商的产品。在密码喷射攻击中,攻击者基本上通过尝试默认和常见密码来获得对多个账户的暴力访问。
Cisco在4月15日的另一份公告中表示:“这一活动似乎与侦察工作有关。”该公告提供了针对密码喷射攻击的建议,并强调了Cisco VPN用户可能观察到的三种攻击症状:VPN连接失败、HostScan令牌失败和异常数量的认证请求。
防范建议
Cisco建议组织在其设备上启用日志记录,保护默认的远程访问VPN配置,并通过访问控制列表和其他机制阻止来自恶意来源的连接尝试。Sectigo的产品高级副总裁Jason Soroko在一封电子邮件中表示:“重要的是,这一攻击并不是针对软件或硬件漏洞,这通常需要打补丁。”他表示,此次攻击者试图利用薄弱的密码管理实践,因此应重点实施强密码或无密码机制以保护访问。
关于作者
Jai Vijayan是一位经验丰富的科技记者,拥有超过20年的IT行业新闻经验。Jai最近担任Computerworld的高级编辑,负责报道信息安全和数据隐私问题。在他20年的Computerworld职业生涯中,Jai还报道了大数据、Hadoop、物联网、电子投票和数据分析等多种技术主题。在加入Computerworld之前,Jai在印度班加罗尔的《经济时报》报道技术问题。Jai拥有统计学硕士学位,现居于伊利诺伊州的Naperville。
保持关注:获取最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势,及时送达您的电子邮箱。
