Globale Zunahme von Brute-Force-Angriffen auf VPN- und SSH-Dienste alarmiert Cisco

Cisco warnt vor einer weltweiten Welle brutaler Angriffsversuche

Cisco hat eine Warnung über eine weltweite Zunahme von Brute-Force-Angriffen herausgegeben, die sich seit dem 18. März 2024 gegen verschiedene Geräte und Dienste richten, darunter Virtual Private Network (VPN)-Services, Webanwendungs-Authentifizierungsschnittstellen und SSH-Dienste.

Zielgeräte der Angriffe:

• Cisco Secure Firewall VPN
• Checkpoint VPN
• Fortinet VPN
• SonicWall VPN
• RD Web Services
• Mikrotik
• Draytek
• Ubiquiti

Laut Cisco Talos stammen diese Angriffe überwiegend von TOR-Ausgangsknoten und einer Reihe anderer anonymisierender Tunnel und Proxies. Die Angriffe verwenden eine Kombination aus generischen und validen Benutzernamen, die spezifisch für bestimmte Organisationen sind, und zielen willkürlich auf eine breite Palette von Branchen und geografischen Regionen ab.

Mögliche Folgen erfolgreicher Angriffe:

• Unerlaubter Netzwerkzugang
• Kontosperrungen
• Denial-of-Service-Zustände

Die Quell-IP-Adressen für den Datenverkehr sind häufig mit Proxy-Diensten verbunden, darunter TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy und Proxy Rack.

Eine vollständige Liste der Indikatoren für diese Aktivitäten, einschließlich der IP-Adressen und der Benutzername/Passwort-Kombinationen, ist über diesen Link zugänglich.

Diese Entwicklung folgt auf Warnungen vor Passwortspray-Angriffen, die auf Fernzugriffs-VPN-Dienste abzielen, und ist Teil der „Aufklärungsbemühungen“, so Cisco. Sie kommt auch nach einem Bericht von Fortinet FortiGuard Labs, der darauf hinweist, dass Bedrohungsakteure weiterhin eine mittlerweile gepatchte Sicherheitslücke in TP-Link Archer AX21 Routern (CVE-2023-1389, CVSS-Bewertung: 8.8) ausnutzen, um DDoS-Botnetz-Malware wie AGoent, Condi, Gafgyt, Mirai, Miori und MooBot zu verbreiten.

„Botnetze zielen unermüdlich auf IoT-Schwachstellen ab und versuchen kontinuierlich, diese zu nutzen“, sagten die Sicherheitsforscher Cara Lin und Vincent Li. „Benutzer sollten gegenüber DDoS-Botnetzen wachsam sein und umgehend Patches anwenden, um ihre Netzwerkumgebungen vor Infektionen zu schützen und zu verhindern, dass sie zu Bots für bösartige Bedrohungsakteure werden.“

Empfehlungen für betroffene Nutzer:

• Aktualisieren Sie Ihre Systeme umgehend, um die neuesten Sicherheitspatches zu implementieren.
• Überwachen Sie den Netzwerkverkehr und identifizieren Sie Anomalien frühzeitig.
• Verstärken Sie die Sicherheitseinstellungen, um den Zugriff auf Netzwerkdienste besser zu kontrollieren und zu sichern.

Die neuesten Entwicklungen unterstreichen die dringende Notwendigkeit für Organisationen, ihre Sicherheitsmaßnahmen zu überprüfen und zu verstärken, um sich gegen die steigende Flut von Cyberangriffen zu schützen.