Компания срочно рекомендует меры защиты.
Компания Cisco опубликовала рекомендации для своих клиентов по защите от атак методом подбора паролей, нацеленных на службы удалённого доступа VPN (Remote Access VPN, RAVPN), настроенные на устройствах Cisco Secure Firewall.
Обнаруженная недавно вредоносная деятельность, по словам компании, является частью масштабной разведывательной операции и направлена не только на продукты Cisco, но и на другие сервисы удалённого доступа.
В рамках таких атак злоумышленники пробуют использовать один и тот же пароль для множества учётных записей в попытке войти в систему. В руководстве по смягчению последствий от Cisco перечислены индикаторы компрометации (IoC), помогающие обнаружить и заблокировать подобные атаки.
К одному из таких индикаторов относится невозможность установления VPN-соединения с Cisco Secure Client (AnyConnect) при включённом брандмауэре (HostScan), а также аномально большое количество запросов аутентификации, фиксируемых системными журналами.
Исследователь в области безопасности Аарон Мартин связывает наблюдаемую компанией Cisco активность с не задокументированным ботнетом, который он назвал «Brutus».
Мартин опубликовал отчёт, описывающий необычные методы атаки с помощью «Brutus», которые он и аналитик Крис Грубе наблюдали с 15 марта. В своей работе ботнет использует около 20 000 IP-адресов по всему миру, включая инфраструктуру облачных сервисов и резидентных IP.
Атаки, зафиксированные Мартином, первоначально были нацелены на устройства SSLVPN от Fortinet, Palo Alto, SonicWall и Cisco, но затем расширились и на веб-приложения, использующие Active Directory для аутентификации.
Ботнет «Brutus» меняет свои IP-адреса каждые шесть попыток ввода пароля, чтобы избежать обнаружения и блокировки. При этом используются очень специфичные имена пользователей, данные о которых не обнародованы и не доступны в открытых источниках. Это вызывает опасения относительно способа их получения и может указывать на необнародованный взлом или эксплуатацию уязвимости нулевого дня.
Среди рекомендаций Cisco по противостоянию данной вредоносной активности можно выделить следующие моменты:
Все вышеописанные рекомендации позволяют укрепить безопасность корпоративной инфраструктуры и защитить её от злонамеренных вторжений. Администраторам не стоит тянуть с защитой своих систем, дабы не стать очередной жертвой коварных хакеров.
Большой взрыв знаний каждый день в вашем телефоне