Cisco 最近发出警告,指出一个针对全球 Cisco、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 设备的广泛凭证暴力破解攻击活动。该攻击的目标是 VPN 和 SSH 服务,给用户的网络安全带来了严峻挑战。
什么是暴力破解攻击?
暴力破解攻击 是一种尝试使用大量用户名和密码组合登录账户或设备的过程,直到找到正确的组合。一旦攻击者获得了正确的凭证,他们就可以劫持设备或访问内部网络。
攻击的起源与方法
根据 Cisco Talos 的报告,这一新的暴力破解活动使用了与特定组织相关的有效和通用员工用户名的组合。研究人员表示,攻击始于 2024 年 3 月 18 日,所有攻击均来自 TOR 出口节点以及各种其他匿名工具和代理,攻击者利用这些工具来规避安全防护。
攻击的潜在后果
Cisco Talos 报告警告称:“根据目标环境,这种类型的成功攻击可能导致未经授权的网络访问、账户锁定或拒绝服务条件。”此外,与这些攻击相关的流量随着时间的推移而增加,并且可能会继续上升。
攻击所用的服务
一些用于进行攻击的服务包括:
- TOR
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
目标服务清单
Cisco 的研究人员报告称,以下服务正在被该攻击活动积极针对:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
攻击的随机性与广泛性
此次恶意活动并没有特定针对某些行业或地区,显示出更广泛的随机和机会主义攻击策略。Talos 团队在 GitHub 上分享了该活动的完整妥协指标(IoCs),包括攻击者的 IP 地址,以便纳入阻止列表,以及在暴力破解攻击中使用的用户名和密码列表。
早期攻击的可能联系
在 2024 年 3 月底,Cisco 警告称针对 Cisco Secure Firewall 设备上配置的远程访问 VPN(RAVPN)服务的一波密码喷洒攻击。密码喷洒攻击针对许多用户名,使用一小组常用密码,这种方法对弱密码策略更有效。
安全研究员 Aaron Martin 将这些攻击归因于一个名为“Brutus”的恶意软件僵尸网络,基于观察到的攻击模式和目标范围。尚未验证今天 Cisco 警告的攻击是否是之前攻击的延续。
BleepingComputer 已联系 Cisco,询问这两项活动是否有关联,但尚未收到立即的回复。
结论
随着网络攻击的不断演变,用户必须提高警惕,确保使用强密码和多因素认证等安全措施来保护自己的网络环境。对于企业而言,选择一个快速且安全的 VPN 产品是保护内部网络安全的关键一步。
