Sommario
Cisco Talos ha osservato un incremento significativo degli attacchi brute-force a livello globale, mirati a una varietà di servizi tra cui le reti private virtuali (VPN), le interfacce di autenticazione delle applicazioni web e i servizi SSH. Questa attività malevola è stata rilevata in aumento dal 18 marzo 2024.
Dettagli degli attacchi
Gli attacchi sono prevalentemente originati da nodi di uscita TOR e da una serie di altri tunnel e proxy anonimizzanti. Questi tentativi di accesso forzato utilizzano credenziali comunemente usate o specifiche per determinate organizzazioni e sembrano non avere un bersaglio regionale o industriale specifico.
Servizi colpiti
Tra i servizi VPN maggiormente colpiti si annoverano:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
Altri servizi affetti includono RD Web Services, Miktrotik, Draytek e Ubiquiti. Tuttavia, la lista non è esaustiva e altri servizi potrebbero essere vulnerabili a questi attacchi.
Conseguenze degli attacchi
A seconda del contesto in cui si verificano, questi attacchi possono portare a accessi non autorizzati alla rete, blocco degli account, o condizioni di denial-of-service. Il traffico relativo a questi attacchi è aumentato nel tempo e si prevede che continuerà a crescere.
Sorgenti del Traffico
Gli indirizzi IP sorgenti di questo traffico sono spesso associati a servizi di proxy, inclusi ma non limitati a:
- TOR
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
Raccomandazioni e Mitigazione
Per mitigare questi attacchi, le strategie varieranno a seconda del servizio VPN interessato. Per i servizi VPN Cisco, ad esempio, sono disponibili linee guida specifiche su come proteggersi dagli attacchi di password spray. È fondamentale aggiornare i sistemi e monitorare attivamente le reti per rilevare tentativi di accesso sospetti.
Il crescente volume di attacchi brute-force richiede un’attenzione rinnovata alla sicurezza delle informazioni e un’immediata implementazione di misure di sicurezza robuste. Gli amministratori di sistema sono incoraggiati a consultare le risorse di supporto disponibili e a collaborare per difendere le infrastrutture critiche da queste minacce pervasive.