Cisco 最近分享了一系列建议,旨在帮助客户减轻针对其 Cisco Secure Firewall 设备上配置的远程访问 VPN(RAVPN)服务的密码喷射攻击。这些攻击不仅针对 Cisco 的服务,还涉及其他远程访问 VPN 服务,似乎是某种侦查活动的一部分。
什么是密码喷射攻击?
在密码喷射攻击中,攻击者会尝试使用相同的密码登录多个账户,目的是找到一个可用的账户进行访问。Cisco 的缓解指南列出了此活动的危害指示器(IoCs),以帮助检测和阻止这些攻击。
指示器包括:
- 当启用防火墙姿势(HostScan)时,无法使用 Cisco Secure Client(AnyConnect)建立 VPN 连接。
- 系统日志中记录异常数量的身份验证请求。
Cisco 的防御建议
为了抵御这些攻击,Cisco 提出了以下建议:
- 启用远程 syslog 服务器的日志记录:这有助于改进事件分析和关联。
- 保护默认远程访问 VPN 配置:通过将未使用的默认连接配置指向一个 sinkhole AAA 服务器,防止未经授权的访问。
- 利用 TCP shun 手动阻止恶意 IP。
- 配置控制平面 ACL:过滤未经授权的公共 IP 地址,以防止其发起 VPN 会话。
- 使用基于证书的身份验证:RAVPN 使用这种身份验证方法比传统凭据提供更安全的认证方式。
与 Brutus 僵尸网络的联系
安全研究员 Aaron Martin 向 BleepingComputer 表示,Cisco 观察到的活动很可能来自一种未记录的恶意软件僵尸网络,他将其命名为“Brutus”。这种联系基于特定的攻击范围和模式。
Martin 发布了一份关于 Brutus 僵尸网络的报告,描述了他与分析师 Chris Grube 自 3 月 15 日以来观察到的异常攻击方法。报告指出,该僵尸网络目前依赖全球 20,000 个 IP 地址,涵盖从云服务到住宅 IP 的各种基础设施。
攻击的演变
Martin 观察到的攻击最初针对 Fortinet、Palo Alto、SonicWall 和 Cisco 的 SSLVPN 设备,但现在已扩展到使用 Active Directory 进行身份验证的 Web 应用程序。Brutus 每六次尝试旋转其 IP,以逃避检测和阻止,同时使用非常特定的未公开用户名,这些用户名在公共数据泄露中并不可用。
这种攻击方式引发了人们对这些用户名来源的担忧,可能表明存在未披露的安全漏洞或零日漏洞的利用。
相关威胁
虽然 Brutus 的操作者尚不明确,Martin 已识别出两个与 APT29(Midnight Blizzard, NOBELIUM, Cozy Bear)过去活动相关的 IP 地址。该组织被认为与俄罗斯对外情报局(SVR)有关。
结论
针对远程访问 VPN 服务的密码喷射攻击日益严重,企业应采取 Cisco 的建议以加强防御。此外,保持对新兴威胁的警惕,及时更新安全策略,是保护信息安全的关键。
