Gli attacchi su larga scala di compromissione credenziali sono una minaccia reale per le reti di tutto il mondo.
Cisco Talos ha recentemente emesso un avviso di sicurezza che mette in guardia da una campagna di attacchi su larga scala che mira a ottenere accessi non autorizzati a VPN, SSH e account di applicazioni web.
Gli attacchi utilizzano sia nomi utente generici che nomi utente validi mirati a specifiche organizzazioni. Cisco ha incluso una lista di oltre 2.000 nomi utente e quasi 100 password utilizzati negli attacchi, insieme a quasi 4.000 indirizzi IP che inviano il traffico di login. Gli indirizzi IP sembrano provenire da nodi di uscita TOR e altri tunnel e proxy anonimi. Gli attacchi sembrano essere indiscriminati e opportunistici, piuttosto che mirati a una particolare regione o industria.
“A seconda dell’ambiente di destinazione, gli attacchi di questo tipo riusciti possono portare ad accessi di rete non autorizzati, blocchi di account o condizioni di negazione del servizio”, hanno scritto i ricercatori di Talos martedì. “Il traffico correlato a questi attacchi è aumentato nel tempo ed è probabilmente destinato a continuare a salire.”
Gli attacchi sono iniziati non prima del 18 marzo.
L’avviso di martedì arriva tre settimane dopo che Cisco ha avvertito di una campagna di attacchi simile. Cisco ha descritto quella come una spruzzata di password diretta ai VPN remoti di accesso da Cisco e fornitori terzi connessi a firewall Cisco. Questa campagna è apparsa essere correlata a sforzi di ricognizione, ha detto la società.
Gli attacchi hanno incluso centinaia di migliaia o milioni di tentativi di autenticazione respinte. Cisco ha continuato a dire che gli utenti possono occasionalmente ricevere un messaggio di errore che dice: “Impossibile completare la connessione. Il desktop sicuro Cisco non è installato sul client”. I tentativi di login che portano all’errore non riescono a completare il processo di connessione VPN. Il rapporto ha anche riferito “sintomi di fallimenti di allocazione token hostscan”.
Un rappresentante di Cisco ha detto che i ricercatori della società non hanno attualmente prove conclusive per collegare l’attività in entrambe le istanze allo stesso attore della minaccia, ma che ci sono sovrapposizioni tecniche nel modo in cui sono stati eseguiti gli attacchi, nonché nell’infrastruttura che è stata utilizzata.
Talos ha detto martedì che i servizi mirati nella campagna includono, ma non sono limitati a:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Mikrotik
- Draytek
- Ubiquiti.
Gli indirizzi IP di anonimizzazione sembrano appartenere a servizi, tra cui:
- TOR
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack.
Cisco ha già aggiunto la lista di indirizzi IP menzionati in precedenza a una lista di blocco per le sue offerte VPN. Le organizzazioni possono aggiungere gli indirizzi a liste di blocco per qualsiasi VPN di terze parti che stanno utilizzando. Una lista completa delle indicazioni di compromissione è qui.
Cisco ha anche fornito una lista di raccomandazioni per prevenire il successo degli attacchi. Il consiglio include:
- Abilitare il logging dettagliato, idealmente su un server syslog remoto in modo che gli amministratori possano riconoscere e correlare gli attacchi attraverso vari endpoint di rete
- Proteggere i conti di accesso remoto predefiniti sinkholandoli a meno che non utilizzino i profili DefaultRAGroup e DefaultWEBVPNGroup
- Bloccare i tentativi di connessione da fonti dannose note
- Implementare liste di controllo degli accessi a livello di interfaccia e piani di controllo per filtrare gli indirizzi IP pubblici non autorizzati e impedire loro di avviare sessioni VPN remote.
- Utilizzare il comando shun.
Oltre a ciò, i VPN di accesso remoti dovrebbero utilizzare l’autenticazione basata su certificati. Cisco elenca ulteriori passaggi per indurire i VPN qui.
Per proteggere la tua rete da questi attacchi, è importante seguire le best practice di sicurezza, tra cui l’abilitazione del logging dettagliato, la protezione dei conti di accesso remoto predefiniti e il blocco dei tentativi di connessione da fonti dannose note. Implementando queste misure, puoi aiutare a proteggere la tua rete da attacchi su larga scala di compromissione credenziali.
