Cisco warns of large-scale brute-force attacks against VPN services
2024/04/16 BleepingComputer — 世界中の Cisco/CheckPoint/Fortinet/SonicWall/Ubiquiti デバイス上の VPN/SSH サービスを標的とする、大規模なクレデンシャル・ブルートフォース・キャンペーンについて、Cisco が警告している。ブルートフォース攻撃 (総当たり攻撃) とは、不特定多数のユーザー名とパスワードを使用して、正しい組み合わせが見つかるまで、アカウントやデバイスへのログインを試みるというものだ。正しい認証情報を発見した攻撃者は、それらを使用することで、デバイスの乗っ取りや、内部ネットワークへのアクセスを可能にする。
Cisco Talos によると、この新しいブルートフォース・キャンペーンでは、特定の組織に関連する有効な従業員ユーザー名と、一般的な従業員ユーザー名が混在して使用されているという。
研究者たちによると、そのキャンペーンは 2024年3月18日から開始され、攻撃者はブロックを回避するために、TOR の出口ノードといった各種の匿名化ツールやプロキシから、すべての攻撃を発信しているという。
Cisco Talos はレポートで、「この種の攻撃が成功すると、不正なネットワーク・アクセス/アカウントのロックアウト/サービス拒否状態などに、ユーザー環境が陥る可能性がある。これらの攻撃に関連するトラフィックは、時間の経過に合わせて増加しており、今後も増加し続ける可能性が高い」と警告している。
攻撃には、以下のようなサービスが使われているという:
- TOR
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
Cisco の研究者たちによると、このキャンペーンでは、以下のサービスが積極的に狙われているという:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
この悪意のアクティビティは、特定の業界や地域に焦点を当てたものではなく、ランダムで日和見的な攻撃という、広範な戦略を示唆している。
ブロック・リストに登録すべき攻撃者の IP アドレスや、ブルートフォース攻撃に使用されたユーザー名/パスワードのリストなどの、この活動に関する侵害の指標 (IoC:indicators of compromise) の完全なリストを、Talos チームは GitHub で共有している。
以前の攻撃との関連性は?
2024年3月下旬にも Cisco は、Cisco Secure Firewall デバイスに設定されたリモート・アクセス VPN (RAVPN) サービスを標的とする、大規模なパスワード・スプレー攻撃について警告を発していた。
パスワード・スプレー攻撃とは、ブルート・フォース攻撃とは異なり、よく使われるパスワードの少量のセットを用いて、大量のユーザー名をターゲットにするというものだ。この手法は、脆弱なパスワード・ポリシーに対して、より効果的だとされる。
セキュリティ研究者の Aaron Martin は、観測された攻撃パターンと標的の範囲から、これらの攻撃は “Brutus” と呼ばれるマルウェア・ボットネットによるものだと考えている。
今回、Cisco が警告しているブルート・フォース攻撃が、以前に見られた攻撃の続きであるかどうかは、まだ検証されていない。
BleepingComputer は、この2つの活動が関連しているかどうかを明らかにするために Cisco に問い合わせたが、回答はまだ得られていない。
つい先日の 2024/04/16 にも、「Cisco Duo で侵害が発生:サードパーティ MFA における論点とは?」という記事がポストされ、なにかと心配の種が尽きない Cisco です。パスワードの強化が必要であり、また、2FA などの活用も有効的です。ご利用のチームは、ご注意ください。よろしければ、Cisco で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.