Cisco Talos está monitoreando un aumento global en ataques de fuerza bruta contra una variedad de objetivos, incluidos servicios de red privada virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH desde al menos el 18 de marzo de 2024.
Todos estos ataques parecen originarse en nodos de salida de TOR y una variedad de otros túneles y servidores proxy anónimos.
Dependiendo del entorno de destino, los ataques exitosos de este tipo pueden provocar acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio. El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga aumentando. Los servicios afectados conocidos se enumeran a continuación. Sin embargo, estos ataques pueden afectar a servicios adicionales.
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
Los intentos de fuerza bruta utilizan nombres de usuario genéricos y nombres de usuario válidos para organizaciones específicas. El objetivo de estos ataques parece ser indiscriminado y no dirigido a una región o industria en particular. Las direcciones IP de origen de este tráfico están comúnmente asociadas con servicios de proxy, que incluyen, entre otros:
- TOR
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
La lista proporcionada anteriormente no es exhaustiva, ya que los actores de amenazas pueden utilizar servicios adicionales.
Debido al aumento significativo y al gran volumen de tráfico, hemos agregado las direcciones IP asociadas conocidas a nuestra lista de bloqueo. Es importante tener en cuenta que es probable que cambien las direcciones IP de origen de este tráfico.
Dado que estos ataques se dirigen a una variedad de servicios VPN, las mitigaciones variarán según el servicio afectado. Para los servicios VPN de acceso remoto de Cisco, puede encontrar orientación y recomendaciones en un blog de soporte reciente de Cisco:
Estamos incluyendo los nombres de usuario y contraseñas utilizados en estos ataques en los IOCs para crear conciencia. Las direcciones IP y las credenciales asociadas con estos ataques se pueden encontrar en el repositorio de GitHub.
Fuente y redacción: segu-info.com.ar
