Cisco Talos sta monitorando attivamente almeno dal 18 marzo un aumento globale degli attacchi brute-force contro una serie di obiettivi, tra cui i servizi di VPN, le interfacce di autenticazione delle applicazioni web e i servizi SSH. Questi attacchi sembrano provenire tutti da nodi di uscita TOR e da una serie di altri tunnel e proxy di anonimizzazione.

A seconda dell’ambiente di destinazione, gli attacchi di questo tipo possono portare all’accesso non autorizzato alla rete, al blocco degli account o a condizioni di denial-of-service. Il traffico legato a questi attacchi è aumentato nel tempo e probabilmente continuerà ad aumentare. I servizi interessati sono elencati di seguito, ma altri servizi potrebbero essere colpiti da questi attacchi.

  • Cisco Secure Firewall VPN
  • Checkpoint VPN
  • Fortinet VPN
  • SonicWall VPN
  • RD Web Services
  • Miktrotik
  • Draytek
  • Ubiquiti

attacchi brute force VPN

Il bersaglio di questi attacchi sembra essere indiscriminato e non diretto a una particolare regione o settore. Gli indirizzi IP di origine di questo traffico sono comunemente associati a servizi proxy, che includono, ma non sono limitati a:

  • TOR
  • Gate VPN
  • Proxy IPIDEA
  • Proxy BigMama
  • Proxy Space
  • Nexus Proxy
  • Proxy Rack

“L’elenco fornito sopra non è esaustivo, in quanto altri servizi possono essere utilizzati dagli attori delle minacce. A causa dell’aumento significativo e dell’elevato volume di traffico, abbiamo aggiunto alla nostra blocklist gli indirizzi IP associati noti. È importante notare che gli indirizzi IP di origine di questo traffico possono cambiare”, si legge nel comunicato di Cisco Talos.

Poiché questi attacchi hanno come obiettivo una serie di servizi VPN, le misure di mitigazione variano a seconda del servizio colpito. Per i servizi VPN di accesso remoto Cisco, le indicazioni e le raccomandazioni sono disponibili qui.