Cisco Talos bu hafta VPN hizmetlerini, SSH hizmetlerini ve Web uygulaması kimlik doğrulama arayüzlerini hedef alan kaba kuvvet saldırılarında büyük bir artış olduğu konusunda uyardı.
Şirket, tavsiye niteliğindeki yazısında, saldırıların kurban ortamlarına ilk erişimi denemek ve elde etmek için genel ve geçerli kullanıcı adlarının kullanılmasını içerdiğini açıkladı. Bu saldırıların hedefleri rastgele ve ayrım gözetmiyor gibi görünüyor ve herhangi bir endüstri sektörü veya coğrafyayla sınırlı değil. Cisco dedi ki.
Şirket, saldırıların, aralarında Checkpoint VPN, Fortinet VPN, SonicWall VPN, Mikrotik ve Draytek’in de bulunduğu diğer satıcıların Cisco Güvenli Güvenlik Duvarı VPN cihazlarını ve teknolojilerini kullanan kuruluşları etkilediğini tespit etti.
Saldırı Hacimleri Artabilir
Cisco Talos açıklamasında, “Hedef ortama bağlı olarak, bu tür başarılı saldırılar, yetkisiz ağ erişimine, hesap kilitlenmelerine veya hizmet reddi koşullarına yol açabilir” açıklamasında bulunuldu. Satıcı, saldırılardaki artışın 28 Mart civarında başladığını kaydetti ve önümüzdeki günlerde saldırı hacimlerinde olası bir artış olacağı konusunda uyardı.
Cisco, saldırı hacimlerindeki ani patlama ve saldırıların tek bir tehdit aktörünün mü yoksa birden fazla tehdit aktörünün işi mi olduğuna ilişkin Dark Reading soruşturmasına hemen yanıt vermedi. Tavsiye belgesi, saldırı trafiğinin kaynak IP adreslerini Tor, Nexus Proxy, Space Proxy’ler ve BigMama Proxy ile ilişkili proxy hizmetleri olarak tanımladı.
Cisco’nun tavsiyesi, saldırılarla ilişkili IP adresleri ve kimlik bilgileri dahil olmak üzere güvenlik ihlali göstergeleriyle bağlantılıydı ve aynı zamanda bu IP adreslerinin zaman içinde değişme potansiyeline de dikkat çekiyordu.
Yeni saldırı dalgası aşağıdakilerle tutarlıdır: Tehdit aktörlerinin ilgisi artıyor Kuruluşların son yıllarda çalışanların uzaktan erişim gereksinimlerini desteklemek için kullandığı VPN’lerde ve diğer teknolojilerde. Saldırganlar (ulus devlet aktörleri dahil) vahşice hedef alındı Bu ürünlerdeki güvenlik açıkları, kurumsal ağlara sızmayı deneyerek ABD gibi ülkelerden çok sayıda tavsiye alınmasına neden oluyor Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FBI, Ulusal Güvenlik Ajansı (NSA)ve diğerleri.
VPN’deki Açıkların Sayısı Artıyor
Securin tarafından yapılan bir araştırma, araştırmacıların, tehdit aktörlerinin ve satıcıların VPN ürünlerinde keşfettikleri güvenlik açıklarının sayısını gösterdi %875 arttı Sekiz farklı satıcının ürünündeki 147 kusurun, 78 üründe yaklaşık 1.800 kusura ulaştığını kaydettiler. Securin ayrıca saldırganların şu ana kadar açıklanan toplam güvenlik açıklarından 204’ünü silah olarak kullandığını da tespit etti. Bunlardan Sandworm, APT32, APT33 ve Fox Kitten gibi gelişmiş kalıcı tehdit (APT) grupları 26 kusurdan yararlanırken, REvil ve Sodinokibi gibi fidye yazılımı grupları 16 kusurdan daha yararlandı.
Cisco’nun en son tavsiyesi, Cisco’nun ürünlerini ve diğer birçok satıcının ürünlerini içeren uzaktan erişim VPN hizmetlerini hedef alan şifre püskürtme saldırıları hakkında şirketin aldığı çok sayıda rapordan kaynaklanmış gibi görünüyor. Parola püskürtme saldırısında, bir saldırgan temel olarak birden fazla hesaba, tümünde varsayılan ve ortak parolaları deneyerek kaba kuvvetle erişim sağlamaya çalışır.
Keşif Çabası mı?
Cisco ayrı bir açıklamasında, “Bu aktivite keşif çalışmalarıyla ilgili gibi görünüyor” dedi. 15 Nisan tavsiyesi kuruluşlara parola püskürtme saldırılarına karşı öneriler sundu. Öneride, Cisco VPN kullanıcılarının gözlemleyebileceği bir saldırının üç belirtisi vurgulandı: VPN bağlantı hataları, HostScan belirteç hataları ve alışılmadık sayıda kimlik doğrulama isteği.
Şirket, kuruluşların cihazlarında oturum açmayı etkinleştirmesini, varsayılan uzaktan erişim VPN profillerini güvenli hale getirmesini ve erişim kontrol listeleri ve diğer mekanizmalar aracılığıyla kötü niyetli kaynaklardan gelen bağlantı girişimlerini engellemesini önerdi.
Sectigo’nun üründen sorumlu kıdemli başkan yardımcısı Jason Soroko, e-postayla gönderdiği açıklamada, “Burada önemli olan, bu saldırının genellikle yama gerektiren bir yazılım veya donanım güvenlik açığına karşı olmamasıdır” dedi. Saldırganların bu durumda zayıf şifre yönetimi uygulamalarından yararlanmaya çalıştıklarını, bu nedenle güçlü şifreler uygulamaya veya erişimi korumak için şifresiz mekanizmalar uygulamaya odaklanılması gerektiğini söyledi.