Matejmo | imágenes falsas
El equipo de seguridad de Talos de Cisco advierte sobre una campaña de compromiso de credenciales a gran escala que está atacando indiscriminadamente a las redes con intentos de inicio de sesión destinados a obtener acceso no autorizado a VPN, SSH y cuentas de aplicaciones web.
Los intentos de inicio de sesión utilizan tanto nombres de usuario genéricos como nombres de usuario válidos dirigidos a organizaciones específicas. Cisco incluyó un lista de más de 2.000 nombres de usuario y casi 100 contraseñas utilizadas en los ataques, junto con casi 4.000 direcciones IP que envían el tráfico de inicio de sesión. Las direcciones IP parecen originarse en nodos de salida TOR y otros túneles y servidores proxy anónimos. Los ataques parecen ser indiscriminados y oportunistas en lugar de estar dirigidos a una región o industria en particular.
“Dependiendo del entorno objetivo, los ataques exitosos de este tipo pueden provocar acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio”, investigadores de Talos. escribió el martes. “El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga aumentando”.
Los ataques comenzaron a más tardar el 18 de marzo.
El aviso del martes llega tres semanas después de Cisco prevenido de una campaña de ataque similar. Cisco lo describió como un spray de contraseña dirigido a VPN de acceso remoto de Cisco y proveedores externos conectados a los firewalls de Cisco. Esta campaña parecía estar relacionada con esfuerzos de reconocimiento, dijo la compañía.
Los ataques incluyeron cientos de miles o millones de intentos de autenticación rechazados. Cisco continuó diciendo que los usuarios pueden recibir de forma intermitente un mensaje de error que dice: “No se puede completar la conexión. Cisco Secure Desktop no está instalado en el cliente”. Los intentos de inicio de sesión que resultan en el error no logran completar el proceso de conexión VPN. El informe también informó “síntomas de fallas en la asignación de tokens de hostscan”.
Un representante de Cisco dijo que los investigadores de la compañía actualmente no tienen evidencia para vincular de manera concluyente la actividad en ambos casos con el mismo actor de amenaza, pero que existen superposiciones técnicas en la forma en que se llevaron a cabo los ataques, así como en la infraestructura que se utilizó.
Talos dijo el martes que los servicios a los que se dirige la campaña incluyen, entre otros:
- VPN de firewall seguro de Cisco
- VPN de punto de control
- VPN Fortinet
- SonicWallVPN
- Servicios web de DR
- microtik
- Draytec
- Ubicuo.
Las IP de anonimización parecían pertenecer a servicios, entre ellos:
- COLINA
- Puerta VPN
- Representante IPIDEA
- Proxy de mamá grande
- Proxies espaciales
- Proxy Nexus
- Estante de proxy.
Cisco ya agregó la lista de direcciones IP mencionada anteriormente a una lista de bloqueo para sus ofertas de VPN. Las organizaciones pueden agregar las direcciones a las listas de bloqueo de cualquier VPN de terceros que estén utilizando. Una lista completa de indicios de compromiso es aquí.
Cisco también ha proporcionado una lista de recomendaciones para evitar que los ataques tuvieran éxito. La orientación incluye:
- Habilitar el registro detallado, idealmente en un servidor syslog remoto para que los administradores puedan reconocer y correlacionar ataques en varios puntos finales de la red.
- Proteger las cuentas de acceso remoto predeterminadas mediante sumideros a menos que utilicen los perfiles DefaultRAGroup y DefaultWEBVPNGroup
- Bloquear intentos de conexión de fuentes maliciosas conocidas
- Implementar nivel de interfaz y plano de control listas de control de acceso para filtrar direcciones IP públicas no autorizadas y evitar que inicien sesiones VPN remotas.
- Utilizar el evitar el comando.
Además, las VPN de acceso remoto deben utilizar autenticación basada en certificados. Cisco enumera pasos adicionales para reforzar las VPN aquí.