Cisco ha emesso un avvertimento su una significativa campagna di forza bruta volta a compromettere i servizi VPN e SSH su dispositivi di diversi importanti produttori, tra cui la stessa Cisco, CheckPoint, Fortinet, SonicWall e Ubiquiti. La campagna, identificata da Il team di ricerca sulla sicurezza di Cisco, Cisco Talos, utilizza una strategia che consiste nel tentare più combinazioni di nome utente e password per ottenere l’accesso non autorizzato ai dispositivi e alle reti interne. Gli aggressori stanno sfruttando una combinazione di credenziali valide e generiche dei dipendenti, adattate a organizzazioni specifiche.
Metodologia e impatto dell’attacco
Gli attacchi di forza bruta, iniziati il 18 marzo 2024 provengono in particolare dai nodi di uscita TOR insieme a vari strumenti di anonimizzazione e proxy. Questi metodi vengono utilizzati strategicamente dagli aggressori per aggirare gli sforzi di blocco da parte delle organizzazioni prese di mira. Gli attacchi possono potenzialmente portare a diversi esiti negativi, tra cui accesso non autorizzato alla rete, blocco degli account e persino condizioni di negazione del servizio. La varietà di servizi utilizzati per questi attacchi include TOR, VPN Gate, IPIDEA Proxy, tra gli altri, indica un’operazione sofisticata e dotata di risorse adeguate.
I servizi presi di mira in questa campagna sono fondamentali per l’infrastruttura di sicurezza di numerose organizzazioni e includono Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN e molti altri. La natura indiscriminata di questi attacchi, privi di un focus specifico su qualsiasi settore o regione, suggerisce un approccio ampio e opportunistico da parte degli aggressori, con l’obiettivo di sfruttare eventuali vulnerabilità riscontrate in questi servizi ampiamente utilizzati.
Indicatori di compromesso e contesto storico
Cisco Talos ha reso disponibile un elenco completo di indicatori di compromissione (IoC) su GitHub, che include indirizzi IP e nomi utente e password specifici utilizzati negli attacchi di forza bruta. Questa risorsa ha lo scopo di aiutare le organizzazioni a migliorare le loro misure di sicurezza contro questa minaccia in corso.
L’attuale campagna assomiglia ad attacchi precedenti, inclusa un’ondata di attacchi di password spraying contro i servizi VPN di accesso remoto segnalati da Cisco negli ultimi tempi Marzo 2024. Il ricercatore di sicurezza Aaron Martin ha collegato questi attacchi precedenti a una botnet malware nota come”Brutus”, basandosi su somiglianze nei modelli di attacco e negli obiettivi. Sebbene non sia confermato se l’attuale campagna di forza bruta sia direttamente collegata a questi incidenti precedenti, il costante targeting dei servizi VPN e SSH sottolinea un panorama di minacce persistenti.
