資安監控平台The Shadowserver Foundation最新報告指出,全球大規模的密碼暴力破解攻擊正在進行中,每日動用近280萬個IP位址,試圖破解各類網路設備的登入憑證,受影響廠商包括Palo Alto Networks、Ivanti和SonicWall等。
根據The Shadowserver Foundation的監測,這波攻擊自上月開始,攻擊來源IP多達280萬個,其中以巴西佔最大宗,約有110萬個IP位址。其餘攻擊流量主要來自土耳其、俄羅斯、阿根廷、摩洛哥和墨西哥等國家,顯示此次攻擊行動已遍布全球多個地區。
受害目標主要為暴露在網際網路上的邊緣安全設備,包含防火牆、VPN設備、網路閘道器等安全設備。這些設備通常用於提供遠端存取服務,因此經常需要連接網際網路,也因此成為攻擊者的目標。
執行攻擊的設備主要來自遭受大型惡意軟體殭屍網路感染的路由器與物聯網設備。根據分析,這些設備主要包含MikroTik、華為、思科、Boa和中興通訊等品牌的產品。The Shadowserver Foundation向外證實,這些攻擊IP橫跨多個網路與自治系統,研判很可能是殭屍網路或與住宅代理(residential proxy)網路相關的行動。
相關文章:駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式
住宅代理IP因具有一般家用用戶的特性,常被不法分子用於網路犯罪、資料擷取、繞過地理限制、廣告驗證和搶購票券等活動。這類IP位址特別受網路犯罪者青睞,因為它們可以讓惡意活動看起來像是來自普通的家庭用戶,而非機器人或駭客。
為了防護邊緣設備免受暴力破解攻擊,資安專家建議企業應立即更改預設管理員密碼,採用強度高且獨特的密碼組合。同時也應啟用多因素認證機制,設定信任IP白名單,並關閉非必要的網頁管理介面。此外,及時更新韌體和安全補丁對於消除可能被攻擊者利用的漏洞也至關重要。
值得注意的是,
去年4月思科曾警告全球出現大規模的憑證暴力破解攻擊,目標包括思科、CheckPoint、Fortinet、SonicWall和Ubiquiti等品牌設備。而在去年12月,
Citrix也發出警告,指出其Netscaler設備遭受全球性的密碼噴灑攻擊。
資安專家特別強調,這類針對企業邊緣設備的攻擊一旦成功,可能被用來作為住宅代理出口節點。由於企業組織普遍擁有良好信譽,這類攻擊更難被偵測和阻擋。因此,企業必須格外重視設備更新維護,並確實執行各項安全防護措施。
本文轉載自bleepingcomputer。