Cisco Talos advirtió esta semana sobre un aumento masivo de ataques de fuerza bruta dirigidos a servicios VPN, servicios SSH e interfaces de autenticación de aplicaciones web.
En su aviso, la compañía describió los ataques como que involucran el uso de nombres de usuario genéricos y válidos para intentar obtener acceso inicial a los entornos de las víctimas. Los objetivos de estos ataques parecen ser aleatorios e indiscriminados y no restringidos a ningún sector industrial o geografía. cisco dijo.
La compañía identificó que los ataques afectan a las organizaciones que utilizan dispositivos y tecnologías Cisco Secure Firewall VPN de varios otros proveedores, incluidos Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik y Draytek.
Los volúmenes de ataque podrían aumentar
"Dependiendo del entorno de destino, los ataques exitosos de este tipo pueden provocar acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio", explica Cisco Talos en un comunicado. El proveedor señaló que el aumento de los ataques comenzó alrededor del 28 de marzo y advirtió sobre un probable aumento en los volúmenes de ataques en los próximos días.
Cisco no respondió de inmediato a una consulta de Dark Reading sobre la repentina explosión en los volúmenes de ataques y si son obra de un solo actor de amenazas o de múltiples actores de amenazas. Su aviso identificó las direcciones IP de origen del tráfico de ataque como servicios proxy asociados con Tor, Nexus Proxy, Space Proxies y BigMama Proxy.
El aviso de Cisco se vinculó a indicadores de compromiso, incluidas las direcciones IP y las credenciales asociadas con los ataques, al tiempo que señaló la posibilidad de que estas direcciones IP cambien con el tiempo.
La nueva ola de ataques es consistente con la creciente interés entre los actores de amenazas en las VPN y otras tecnologías que las organizaciones han implementado en los últimos años para respaldar los requisitos de acceso remoto de los empleados. Los atacantes, incluidos los actores estatales-nación, han atacado ferozmente vulnerabilidades en estos productos para intentar ingresar a las redes empresariales, lo que generó múltiples avisos de empresas como los EE. UU. Agencia de Seguridad Cibernética e Infraestructura (CISA), el FBI, el Agencia Nacional de Seguridad (NSA), Y otros.
Las vulnerabilidades de VPN aumentan en número
Un estudio de Securin mostró la cantidad de vulnerabilidades que investigadores, actores de amenazas y los propios proveedores han descubierto en productos VPN. aumento 875% entre 2020 y 2024. Observaron cómo 147 fallas en productos de ocho proveedores diferentes crecieron hasta casi 1,800 fallas en 78 productos. Securin también descubrió que los atacantes utilizaron como armas 204 del total de vulnerabilidades reveladas hasta el momento. De estos, grupos de amenazas persistentes avanzadas (APT) como Sandworm, APT32, APT33 y Fox Kitten explotaron 26 fallas, mientras que grupos de ransomware como REvil y Sodinokibi explotaron otras 16.
El último aviso de Cisco parece haber surgido de múltiples informes que la compañía recibió sobre ataques de pulverización de contraseñas dirigidos a servicios VPN de acceso remoto que involucran productos de Cisco y aquellos de muchos otros proveedores. En un ataque de pulverización de contraseñas, un adversario básicamente intenta obtener acceso por fuerza bruta a varias cuentas probando contraseñas predeterminadas y comunes en todas ellas.
¿Esfuerzo de reconocimiento?
"Esta actividad parece estar relacionada con los esfuerzos de reconocimiento", dijo Cisco en un comunicado separado. aviso del 15 de abril que ofrecía recomendaciones para las organizaciones contra ataques de pulverización de contraseñas. El aviso destacó tres síntomas de un ataque que los usuarios de VPN de Cisco podrían observar: fallas en la conexión VPN, fallas en el token de HostScan y una cantidad inusual de solicitudes de autenticación.
La compañía recomendó que las organizaciones habiliten el inicio de sesión en sus dispositivos, protejan los perfiles VPN de acceso remoto predeterminados y bloqueen los intentos de conexión de fuentes maliciosas a través de listas de control de acceso y otros mecanismos.
"Lo importante aquí es que este ataque no va contra una vulnerabilidad de software o hardware, que normalmente requiere parches", dijo Jason Soroko, vicepresidente senior de producto de Sectigo, en un comunicado enviado por correo electrónico. Los atacantes en este caso están intentando aprovechar prácticas débiles de administración de contraseñas, dijo, por lo que la atención debería centrarse en implementar contraseñas seguras o implementar mecanismos sin contraseña para proteger el acceso.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/remote-workforce/cisco-warns-of-massive-surge-in-password-spraying-attacks-on-vpns
