شرکت Cisco در خصوص حملات گسترده brute-force با هدف سرویس های SSH و VPN روی Cisco، CheckPoint، Fortinet، SonicWall و دستگاههای Ubiquiti هشدار میدهد.
حملات brute-force فرآیندی است که طی آن مهاجم تلاش می کند به حساب کاربری یا دستگاهی با استفاده از امتحان نام کاربری و رمزعبورهای مختلف تا رسیدن به ترکیب درست، وارد شود. زمانی که به حساب کاربری یا دستگاهی با استفاده اطلاعات صحیح، دسترسی پیدا می کنند، مهاجمان از آن برای سرقت دستگاه یا ورود به شبکه داخلی استفاده می کنند. طبق گزارش Cisco در کمپین جدید، حمله brute-force از ترکیب نام کاربری های معتبر و عمومی مربوط به سازمانهای مشخص استفاده می شود.
محققین می گویند این حملات از 18 مارچ 2024 آغاز شده و تمامی آنها از طریق TOR و سایر ابزارهای پروکسی مورد استفاده مهاجمین رخ داده اند.
براساس محیط هدف، این حملات در صورت موفقیت می توانند بدون احراز هویت به شبکه دسترسی پیدا کرده، حساب های کاربری باز شده یا شرایط denial-of-service پیش بیاید. ترافیک مربوط به این حملات به مرور زمان افزار یافته و در حال افزایش است.
برخی از سرویس های مورد استفاده مهاجمین برای انجام این حملات عبارتند از TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy و Proxy Rack هستند.
به گزارش محققین Cisco سرویس های زیر به صورت فعال در این کمپین هدف قرار گرفته اند:
• Cisco Secure Firewall VPN
• Checkpoint VPN
• Fortinet VPN
• SonicWall VPN
• RD Web Services
• Miktrotik
• Draytek
• Ubiquiti
این حملات بر روی صنایع یا منطقه خاصی تمرکز نداشته و همین موضوع نشان دهنده یک استراتژی گسترده تر و حملاتی تصادفی و فرصت طلبانه است.
لیستی از IoCهای این حملات روی گیت هاب منتشر شده است که شامل آدرس IPهای مهاجمین (برای قرار دادن در بلک لیست) و نام کاربری و رمزعبورهای مورد استفاده در حملات brute-force می باشد.
ارتباطات احتمالی به حملات قبلی
در اواخر مارچ 2024 Cisco در خصوص موجی از حملاتpassword-spraying با هدف سرویس های دسترسی از راه دور VPN تنظیم شده روی دستگاههای فایروال Cisco Secure هشدارهایی داده بود.
حملات Password sprying بیشتر روی سیاست های رمزعبور ضعیف اثر داشته و نام کاربری های بسیاری را تنها با مجموعه محدودی از پسوردهای رایج امتحان می کند (برخلاف حملات brute-force که از یک مجموعه بزرگ پسورد استفاده می کند).
یک محقق امنیتی این حملات را براساس الگوهای حمله و اهداف، مشابه با بات نتی بنام Brutus می داند.
**پیشنهاد ما استفاده از راهکارهای امنیتی با قابلیت پیشگیری از حملات Brute-force، از جمله ESET PROTECT Entry و یا ESET PROTECT Enterprise است. جهت کسب اطلاعات بیشتر در خصوص این محصولات و خرید با این شرکت تماس بگیرید.
منبع: