Компания Cisco опубликовала рекомендации для своих клиентов по защите от атак методом подбора паролей, нацеленных на службы удалённого доступа ” data-html=”true” data-original-title=”VPN” >VPN (Remote Access VPN, RAVPN), настроенные на устройствах Cisco Secure Firewall.
Обнаруженная недавно вредоносная деятельность, по словам компании, является частью масштабной разведывательной операции и направлена не только на продукты Cisco, но и на другие сервисы удалённого доступа.
В рамках таких атак злоумышленники пробуют использовать один и тот же пароль для множества учётных записей в попытке войти в систему. В руководстве по смягчению последствий от Cisco перечислены индикаторы компрометации (IoC), помогающие обнаружить и заблокировать подобные атаки.
К одному из таких индикаторов относится невозможность установления VPN-соединения с Cisco Secure Client (AnyConnect) при включённом брандмауэре (HostScan), а также аномально большое количество запросов аутентификации, фиксируемых системными журналами.
Исследователь в области безопасности Аарон Мартин связывает наблюдаемую компанией Cisco активность с не задокументированным ботнетом, который он назвал “Brutus”.
Мартин опубликовал отчёт , описывающий необычные методы атаки с помощью “Brutus”, которые он и аналитик Крис Грубе наблюдали с 15 марта. В своей работе ботнет использует около 20 000 IP-адресов по всему миру, включая инфраструктуру облачных сервисов и резидентных IP.
Атаки, зафиксированные Мартином, первоначально были нацелены на устройства SSLVPN от Fortinet, Palo Alto, SonicWall и Cisco, но затем расширились и на веб-приложения, использующие Active Directory для аутентификации.
Ботнет “Brutus” меняет свои IP-адреса каждые шесть попыток ввода пароля, чтобы избежать обнаружения и блокировки. При этом используются очень специфичные имена пользователей, данные о которых не обнародованы и не доступны в открытых источниках. Это вызывает опасения относительно способа их получения и может указывать на необнародованный взлом или эксплуатацию уязвимости нулевого дня.
Среди рекомендаций Cisco по противостоянию данной вредоносной активности можно выделить следующие моменты:
- Включение логирования на удалённый syslog-сервер. Это облегчает анализ инцидентов путём сбора и анализа логов.
- Защита профилей удалённого доступа по умолчанию. Неиспользуемые профили подключений следует перенаправлять на AAA-сервер sinkhole для предотвращения неавторизованного доступа.
- Использование TCP shun для ручной блокировки вредоносных IP. Позволяет исключать из сети адреса, идентифицированные как источники атак.
- Настройка списков управления доступом (ACL). Ограничивает доступ, фильтруя неавторизованные IP-адреса, которые пытаются инициировать VPN-сессии.
- Применение аутентификации на основе сертификатов для RAVPN. Обеспечивает более безопасный метод аутентификации, увеличивая защиту данных и систем.
Все вышеописанные рекомендации позволяют укрепить безопасность корпоративной инфраструктуры и защитить её от злонамеренных вторжений. Администраторам не стоит тянуть с защитой своих систем, дабы не стать очередной жертвой коварных хакеров.