Bilgisayar Korsanları Cisco ASA SSL VPN’lerine Brute-Force Saldırısı Başlattı

   Eylül 1, 2023  Posted in CyberSecurityNews


Bilgisayar Korsanları Cisco ASA SSL VPN Cihazlarına Aktif Olarak Saldırıyor

Cisco ASA SSL VPN Cihazları, uzak kullanıcıların internet üzerinden özel bir ağa güvenli bir şekilde erişmesine olanak tanıyan bir tür ağ güvenlik cihazıdır.

Bu cihazlar esas olarak kuruluşlar tarafından aşağıdaki şeyleri yapmak için kullanılır: –

  • Güvenli Uzaktan Erişim
  • Kimlik doğrulama
  • yetki
  • Giriş kontrolu
  • Uç Nokta Güvenlik Kontrolleri
  • İstemcisiz Erişim
  • Uygulama Erişimi
  • Şifreli Veri İletimi
  • Granül Kontrol

Rapid7’nin yönetilen algılama ve yanıt (MDR) ekipleri, Mart 2023’ten bu yana, Cisco ASA SSL VPN cihazlarına yönelik hem fiziksel hem de sanal tehditlerde artış olduğunu fark etti.

Tehdit aktörleri genellikle zayıf parolalardan yararlanır veya MFA’sı olmayan ASA cihazlarına hedefli kaba kuvvet saldırıları başlatır ve bu da Akira ve LockBit gruplarının fidye yazılımı dağıttığı birçok olayla sonuçlanır.

ASA Cihazlarına Kaba Kuvvet Saldırıları

Hedefler, belirgin bir model olmaksızın çeşitli sektörleri kapsamaktadır ve aşağıda sektörlerden bahsettik:-

Ancak Rapid7’deki araştırmacılar, uygun şekilde yapılandırıldığında başarılı bir MFA bypass’ı görmediklerini doğruladılar.

30 Mart – 24 Ağustos 2023 tarihleri ​​arasında 11 Rapid7 müşterisi Cisco ASA saldırılarıyla karşılaştı. SSL VPN kullanan ASA cihazlarının güvenliği ihlal edildi ve aralarında yama farklılıkları oluştu; hiçbir sürüm olağandışı derecede savunmasız değildi.

Siber güvenlik analistleri IOC’lerde aşağıdaki gibi örtüşmelere dikkat çekti:

  • Windows istemci adı WIN-R84DEUE96RB
  • IP’ler (176.124.201[.]200 ve 162.35.92[.]242)
  • Hesaplar (TEST, CISCO, TARAYICI, YAZICI)
  • Zayıf kimlik bilgileri

Aşağıda, tehdit aktörlerinin ASA cihazlarına giriş yapmak için kullandığı tüm yaygın kullanıcı adlarından bahsettik: –

  • yönetici
  • yöneticiyönetici
  • yedekleme yöneticisi
  • kali
  • Cisco
  • misafir
  • muhasebe
  • geliştirici
  • ftp kullanıcısı
  • eğitim
  • Ölçek
  • yazıcı
  • Eko
  • güvenlik
  • müfettiş
  • testi testi
  • snmp

Rapid7, ASA saldırılarıyla ilgili saldırgan tartışmaları için yer altı forumlarını ve Telegram’ı izliyor. Şubat 2023’te, ünlü bir ilk erişim komisyoncusu olan “Bassterlord”, SSL VPN kaba zorlama öngörülerini içeren 10 bin dolarlık bir kurumsal ağ erişim kılavuzu sattı.

Üstelik sızdırılan kılavuz, tehdit aktörlerinin VPN hackleme sırlarını açığa çıkarıyor ve 4.865 Cisco ve 9.870 Fortinet hizmetinin ele geçirildiği doğrulandı.

Azaltmalar

Aşağıda, güvenlik araştırmacıları tarafından sunulan tüm azaltımlardan bahsettik: –

  • Güvenlik için varsayılanları devre dışı bırakın veya şifreleri sıfırlayın.
  • VPN kullanıcıları için MFA’yı güçlü bir şekilde uygulayın.
  • VPN’ler aracılığıyla günlüğe kaydetmeyi etkinleştirdiğinizden emin olun.
  • Olağandışı kimlik doğrulama konumları için VPN günlüklerini izleyin.
  • Kaba kuvvet ve parola spreyini tespit etmek için başarısız kimlik doğrulama işlemlerine ilişkin VPN günlüklerini her zaman takip edin.
  • Temel bir uygulama olarak VPN’ler, VDI ve ağ geçidi aygıtlarına yönelik yamalarla güncel kalın.

IoC’ler

AnyDesk:

  • 161.35.92.242
  • 173.208.205.10
  • 185.157.162.21
  • 185.193.64.226
  • 149.93.239.176
  • 158.255.215.236
  • 95.181.150.173
  • 94.232.44.118
  • 194.28.112.157
  • 5.61.43.231
  • 5.183.253.129
  • 45.80.107.220
  • 193.233.230.161
  • 149.57.12.131
  • 149.57.15.181
  • 193.233.228.183
  • 45.66.209.122
  • 95.181.148.101
  • 193.233.228.86
  • 176.124.201.200
  • 162.35.92.242
  • 144.217.86.109

Kaba kuvvet girişimlerinde gözlemlenen diğer IP adresleri:

  • 31.184.236.63
  • 31.184.236.71
  • 31.184.236.79
  • 194.28.112.149
  • 62.233.50.19
  • 194.28.112.156
  • 45.227.255.51
  • 185.92.72.135
  • 80.66.66.175
  • 62.233.50.11
  • 62.233.50.13
  • 194.28.115.124
  • 62.233.50.81
  • 152.89.196.185
  • 91.240.118.9
  • 185.81.68.45
  • 152.89.196.186
  • 185.81.68.46
  • 185.81.68.74
  • 62.233.50.25
  • 62.233.50.17
  • 62.233.50.23
  • 62.233.50.101
  • 62.233.50.102
  • 62.233.50.95
  • 62.233.50.103
  • 92.255.57.202
  • 91.240.118.5
  • 91.240.118.8
  • 91.240.118.7
  • 91.240.118.4
  • 161.35.92.242
  • 45.227.252.237
  • 147.78.47.245
  • 46.161.27.123
  • 94.232.43.143
  • 94.232.43.250
  • 80.66.76.18
  • 94.232.42.109
  • 179.60.147.152
  • 185.81.68.197
  • 185.81.68.75

Günlüğe dayalı göstergeler:

  • Geçersiz kullanıcı adı ve şifre kombinasyonlarıyla oturum açma girişimleri (%ASA-6-113015)
  • Beklenmeyen profiller/TG’ler için RAVPN oturumu oluşturma (denemeler) (%ASA-4-113019, %ASA-4-722041, %ASA-7-734003)

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link