A jelszószórás tombol: célkeresztben a Cisco és a Palo Alto VPN-jei

Automatizált, nagyszabású támadáshullám indult több VPN-platform ellen, főként a Palo Alto Networks GlobalProtect és a Cisco SSL VPN-kapukat célozva. December 11-én a GreyNoise fenyegetésfigyelő rendszere kimutatta, hogy 16 óra alatt 1,7 millió belépési próbálkozás érte a GlobalProtect-portálokat.

Központosított támadási infrastruktúra és visszaélés a gyenge jelszavakkal

Az adatgyűjtés szerint a támadások több mint 10 000 különböző IP-címről indultak, főként az Egyesült Államok, Mexikó és Pakisztán területén lévő infrastruktúrák ellen. A rosszindulatú forgalom szinte teljes egészében egy, a német 3xK GmbH-hoz tartozó IP-tartományból származott, ami központosított felhőalapú infrastruktúrára utal. A vizsgálatok alapján a támadók gyakori felhasználónév–jelszó párosokat próbáltak ki, és főként a Firefox böngészőt utánozó automatizált próbálkozások érkeztek, ami szokatlan az ilyen támadásoknál.

Növekvő nyomás a VPN-kapukon

A próbálkozások egységes felhasználói felületet, kérésszerkezetet és időzítést mutattak, vagyis célzott, szkriptelt, jelszószóró támadásokról van szó a gyengén védett GlobalProtect-felületek azonosítására. Ugyanez a trend december 12-én a Cisco SSL VPN-kapukon is jelentkezett: a támadó IP-k száma 1 273-ra ugrott a megszokott 200 alatti értékről, ami 12 hét óta az első nagyszabású támadás volt ebben a körben.

Megelőzés és biztonsági lépések

A támadások során nem sérültek a rendszerek, kizárólag automatizált belépési kísérletekről van szó. A Palo Alto Networks és a GreyNoise szakértői megerősítik, hogy nincs bizonyíték arra, hogy a támadások bármely ismert sérülékenységhez kapcsolódnának. Mindenkinek ajánlott az erős jelszavak és a többfaktoros hitelesítés használata. A hálózati rendszergazdák számára javasolt a hálózati eszközök rendszeres auditálása, a gyanús bejelentkezések keresése és a rosszindulatú IP-címek tiltása.

2025, adrienne, www.bleepingcomputer.com alapján