IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

هشدار سیسکو درباره حملات brute-force در مقیاس بزرگ علیه سرویس‌های VPN

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian ir cisco warns of large scale brute force attacks against
سیسکو در مورد یک کمپین brute-force اعتبارنامه در مقیاس بزرگ هشدار داد که خدمات VPN و SSH را در دستگاه‌های Cisco، CheckPoint، Fortinet، SonicWall و Ubiquiti در سراسر جهان هدف قرار می‌دهد.

حمله brute force فرآیند تلاش برای ورود به یک حساب کاربری یا دستگاه با استفاده از نام‌های کاربری و رمز‌های عبور بسیار و متعدد تا زمانی که پیدا کردن ترکیب صحیح است. پس از دسترسی به اعتبارنامه‌های صحیح، عوامل تهدید می‌توانند از آنها برای ربودن اطلاعات یک دستگاه یا دسترسی به شبکه داخلی استفاده کنند.

به گفته سیسکو تالوس، این کمپین جدید brute force از ترکیبی از نام‌های کاربری معتبر و عمومی مربوط به سازمان‌های خاص استفاده می‌کند.

محققان می‌گویند که حملات در ١٨ مارس ٢٠٢٤ آغاز شده است و این حملات در حالیست که همه حملات از نود‌های خروجی TOR و ابزار‌های مختلف ناشناس و پراکسی‌های دیگر سرچشمه می‌گیرند که عاملان تهدید از آنها برای فرار از بلاک‌ها استفاده می‌کنند.

گزارش Cisco Talos هشدار می‌دهد: "بسته به محیط هدف، حملات موفقیت‌آمیز از این نوع ممکن است منجر به‌دسترسی غیرمجاز به شبکه، قفل شدن حساب یا شرایط denial-of-service شود".

ترافیک مربوط به این حملات با گذشت زمان افزایش یافته و احتمالا این‌روند افزایشی همچنان ادامه خواهد یافت. برخی از سرویس‌های مورد استفاده برای انجام حملات عبارتند از TOR، VPN Gate، IPIDEA Proxy، BigMama Proxy، Space Proxy، Nexus Proxy و Proxy Rack.

محققان سیسکو گزارش می‌دهند که سرویس‌های زیر به طور فعال توسط این کمپین مورد هدف قرار می‌گیرند:

• Cisco Secure Firewall VPN
• Checkpoint VPN
• Fortinet VPN
• SonicWall VPN
• RD Web Services
• MikroTik
• Draytek
• Ubiquiti

فعالیت مخرب فاقد تمرکز خاص بر صنایع یا مناطق خاصی است، که نشان‌دهنده یک استراتژی گسترده‌تر از حملات تصادفی و فرصت‌طلبانه است.

تیم Talos فهرست کاملی از شاخص‌های تشخیص خطر را برای این فعالیت‌ها در GitHub به اشتراک گذاشته است، که بعضا عبارتند از آدرس‌های IP مهاجمان برای گنجاندن در لیست‌های بلاک و فهرست نام‌های کاربری و رمز‌های عبور مورد استفاده در حملات brute force.

ارتباطات احتمالی با حملات قبلی
در اواخر مارس ٢٠٢٤، سیسکو در مورد موجی از حملات پاشش رمز عبور یا Password-Spraying که سرویس‌های VPN دسترسی از راه دور (RAVPN) پیکربندی شده در دستگاه‌های فایروال امن Cisco را هدف قرار می‌دهد، هشدار داد.

حملات پاشش گذرواژه در برابر سیاست‌های رمز عبور ضعیف موثر‌تر هستند، و بسیاری از نام‌های کاربری را با مجموعه‌ای کوچک از رمز‌های عبور رایج به‌جای brute-force رمزعبور‌های بزرگ هدف قرار می‌دهند.

محقق امنیتی، آرون مارتین، این حملات را بر اساس الگو‌های حمله مشاهده شده و دامنه هدف‌گذاری، به یک بات نت بد‌افزاری به نام «بروتوس - Brutus» نسبت داده است.

هنوز تایید نشده است که آیا حملاتی که سیسکو به تازگی درباره آنها هشدار می‌دهد، ادامه حملات قبلی هستند یا خیر.

برچسب ها: بروتوس, Brutus, پاشش گذرواژه, RAVPN, پاشش رمز عبور, RD Web Services, SonicWall VPN, Checkpoint VPN, Cisco Secure Firewall VPN, Nexus Proxy, Space Proxy, BigMama Proxy, IPIDEA Proxy, VPN Gate, Proxy Rack, Ubiquiti, CheckPoint, Cyber Attack, DrayTek, چک‌پوینت‌, فورتی‌نت, Credential, اعتبارنامه, Tor, Cisco, Fortinet VPN, Fortinet, Sonicwall, cybersecurity, MikroTik, سیسکو, VPN, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل