Canal de Telegram

17 abr 2024

Segu-Info » » Ataques de fuerza bruta a gran escala dirigida a VPN y servicios SSH

Ataques de fuerza bruta a gran escala dirigida a VPN y servicios SSH

17 abr 2024, 2:50:00 p.m.   Comenta primero!
   

Cisco Talos está monitoreando un aumento global en ataques de fuerza bruta contra una variedad de objetivos, incluidos servicios de red privada virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH desde al menos el 18 de marzo de 2024.

Todos estos ataques parecen originarse en nodos de salida de TOR y una variedad de otros túneles y servidores proxy anónimos.

Dependiendo del entorno de destino, los ataques exitosos de este tipo pueden provocar acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio. El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga aumentando. Los servicios afectados conocidos se enumeran a continuación. Sin embargo, estos ataques pueden afectar a servicios adicionales.

  • Cisco Secure Firewall VPN
  • Checkpoint VPN
  • Fortinet VPN
  • SonicWall VPN
  • RD Web Services
  • Miktrotik
  • Draytek
  • Ubiquiti

Los intentos de fuerza bruta utilizan nombres de usuario genéricos y nombres de usuario válidos para organizaciones específicas. El objetivo de estos ataques parece ser indiscriminado y no dirigido a una región o industria en particular. Las direcciones IP de origen de este tráfico están comúnmente asociadas con servicios de proxy, que incluyen, entre otros:

  • TOR
  • VPN Gate
  • IPIDEA Proxy
  • BigMama Proxy
  • Space Proxies
  • Nexus Proxy
  • Proxy Rack

La lista proporcionada anteriormente no es exhaustiva, ya que los actores de amenazas pueden utilizar servicios adicionales.

Debido al aumento significativo y al gran volumen de tráfico, hemos agregado las direcciones IP asociadas conocidas a nuestra lista de bloqueo. Es importante tener en cuenta que es probable que cambien las direcciones IP de origen de este tráfico.

Dado que estos ataques se dirigen a una variedad de servicios VPN, las mitigaciones variarán según el servicio afectado. Para los servicios VPN de acceso remoto de Cisco, puede encontrar orientación y recomendaciones en un blog de soporte reciente de Cisco:

Estamos incluyendo los nombres de usuario y contraseñas utilizados en estos ataques en los IOCs para crear conciencia. Las direcciones IP y las credenciales asociadas con estos ataques se pueden encontrar en el repositorio de GitHub.

Fuente: Talos

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!