外媒報導,思科示警全球 Cisco、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 等設備的 VPN 和 SSH 服務遭受大規模的暴力撞庫攻擊。
暴力撞庫攻擊是嘗試使用大量的用戶名和密碼來登入帳戶或設備,直到找到正確的組合。一旦獲得正確的憑證,威脅行為者就可以利用它們劫持設備或訪問內部網路。
根據思科 Talos 的資訊,這次攻擊使用了一些有效的和通用的員工用戶ID,這些ID與特定的組織相關。
研究人員表示,這些攻擊開始於 2024 年 3 月 18 日,所有攻擊都源自 TOR 出口節點,攻擊主使者使用各種匿名工具和代理程式躲避封鎖。
思科 Talos 警告,依據目標環境的不同,攻擊成功可能會導致未經授權的網路訪問、帳戶鎖定或拒絕服務等後果。目前觀察到與攻擊相關的流量正隨著時間增加中。
用於進行攻擊的服務包括 TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxies、Nexus Proxy 和 Proxy Rack。
思科的研究人員表示,以下服務正遭受積極攻擊:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
這此惡意活動沒有特定目標,表示背後的主使者,採取了隨機的攻擊策略。Talos 團隊已在 GitHub 上分享了這一活動的一系列完整的入侵指標(IoC),包括攻擊者的 IP 地址以供列入黑名單,以及用於暴力攻擊的用戶名和密碼列表。
2024 年 3 月下旬,思科曾警告遭受一波 Cisco Secure Firewall 設備上的遠端 VPN (RAVPN) 服務的密碼噴灑攻擊。密碼噴灑攻擊對弱密碼政策更有效,密碼噴灑瞄準許多用戶名使用一小組常用密碼。
基於觀察到的攻擊模式和攻擊範圍,研究人員將這些攻擊歸因於一個名為「Brutus」的惡意軟體僵屍網路。但到目前為止尚未確認是否兩起攻擊事件是否有關聯。
本文轉載自bleepingcomputer。