Figyelmeztető jelek a támadássorozat mögött
A GreyNoise biztonsági platform két hullámot azonosított: augusztus 3-án és 5-én. Az első hullám főként a Fortinet SSL VPN-t, a második pedig inkább a FortiManager FGFM szolgáltatását támadta, eltérő TCP profilokkal. A vállalat tapasztalatai szerint az ilyen célzott szkennelések és brute-force próbálkozások az esetek 80 százalékában megelőzik azt, hogy új sérülékenységekre derüljön fény.
Ez a viselkedésminta arra is alkalmas, hogy a támadók felmérjék az elérhető végpontokat, azok fontosságát, valamint azt, mennyire könnyen lehet őket kihasználni. Jellemzően néhány héttel később érkeznek meg az éles támadások, miután egy sérülékenység már ismertté vált.
Nem véletlen az irányváltás
A GreyNoise szerint a legtöbb üzemeltető hajlamos elintézni ezeket a támadási hullámokat annyival, hogy “ismét egy elavult hiba kihasználásával próbálkoznak”. Ez azonban tévedés lehet, hiszen az efféle tevékenység akár nulladik-napos kihasználás előjele is lehet. Ezért fontos megerősíteni a védelmet, és blokkolni azokat az IP-címeket, amelyeket ilyen támadásokkal hoznak összefüggésbe.
Mely IP-címeket kell tiltani?
A támadásokban részt vevő IP-címek: 31.206.51.194, 23.120.100.230, 96.67.212.83, 104.129.137.162, 118.97.151.34, 180.254.147.16, 20.207.197.237, 180.254.155.227, 185.77.225.174, 45.227.254.113. Ajánlott ezeket blokkolni, fokozni a bejelentkezési védelmet a Fortinet termékeken, valamint korlátozni a hozzáférést megbízható IP-tartományokra és VPN-re. A támadók egyre fejlettebb módszerekkel térképezik fel a rendszereket, ezért minden szervezetnek célszerű felkészülni a következő nulladik-napos támadás lehetőségére.
