Cisco zdieľalo súbor odporúčaní pre zákazníkov, ako minimalizovať útoky typu „password-spraying“, ktoré boli cielené na služby vzdialeného prístupu VPN (RAVPN) konfigurované na zariadeniach Cisco Secure Firewall.
Spoločnosť uvádza, že útoky boli zamerané aj na iné služby vzdialeného prístupu VPN a zdá sa, že sú súčasťou prieskumnej činnosti.
Počas útoku „password-spraying“ sa útočník pokúša použiť rovnaké heslo na viaceré účty v snahe prihlásiť sa. Sprievodca zmiernením Cisco obsahuje indikátory kompromitácie (IoC) pre túto činnosť, aby pomohli zistiť útoky a zablokovať ich.
To zahŕňa neschopnosť nadviazať VPN spojenia s Cisco Secure Client (AnyConnect), keď je povolený Firewall Posture (HostScan). Ďalším znakom je nezvyčajne veľké množstvo autentifikačných požiadaviek zaznamenaných systémovými logmi.
Odporúčania spoločnosti Cisco na obranu proti týmto útokom
- Povolenie logovania na vzdialený syslog server na zlepšenie analýzy incidentov a korelácie.
- Zabezpečenie predvolených profilov vzdialeného prístupu VPN presmerovaním nepoužívaných predvolených profilov pripojenia na sinkhole AAA server na zabránenie neoprávnenému prístupu.
- Využitie TCP shun na ručné blokovanie zlomyseľných IP adries.
- Konfigurácia ACL riadiacej roviny na filtrovanie neoprávnených verejných IP adries, ktoré iniciovali VPN relácie.
- Použitie certifikátovej autentifikácie pre RAVPN, ktorá poskytuje bezpečnejší spôsob autentifikácie ako tradičné poverenia.
- Kompletný zoznam na: Recommendations Against Password Spray Attacks Impacting Remote Access VPN Services – Cisco
Bezpečnostný výskumník Aaron Martin povedal pre BleepingComputer, že aktivita pozorovaná spoločnosťou Cisco pravdepodobne pochádza z nedokumentovaného malware botnetu, ktorý pomenoval ‚Brutus.‘ Spojenie je založené na konkrétnom rozsahu cieľov a vzoroch útokov.
Martin publikoval správu o botnete Brutus, ktorá opisuje nezvyčajné metódy útoku, ktoré pozoroval s analytikom Chrisom Grubem od 15. marca. Správa poznamenáva, že botnet v súčasnosti využíva 20 000 IP adries po celom svete, zahŕňajúcich rôzne infraštruktúry od cloudových služieb až po rezidenčné IP adresy.
Útoky, ktoré pozoroval Martin, pôvodne cielili na SSLVPN zariadenia od spoločností Fortinet, Palo Alto, SonicWall a Cisco, ale teraz sa rozšírili aj na webové aplikácie, ktoré používajú na autentifikáciu Active Directory.
Brutus rotuje svoje IP každých šesť pokusov, aby sa vyhol detekcii a blokovaniu, zatiaľ čo používa veľmi špecifické neprezradené užívateľské mená, ktoré nie sú dostupné v verejných databázach.
Tento aspekt útokov vyvoláva obavy, ako boli tieto užívateľské mená získané a mohlo by to naznačovať nedokumentovaný prienik alebo využitie zraniteľnosti nultého dňa.
Hoci sú operátori Brutusu neznámi, Martin identifikoval dve IP adresy, ktoré boli spojené s minulými aktivitami APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear), skupiny hrozieb špionáže, ktorá sa predpokladá, že pracuje pre Ruskú zahraničnú spravodajskú službu (SVR).
Zdroj: Bleepingcomputer