Cisco, dünya çapındaki Cisco, CheckPoint, Fortinet, SonicWall ve Ubiquiti cihazlarındaki VPN ve SSH hizmetlerini hedef alan büyük ölçekli bir kaba zorlama kampanyası hakkında uyarıyor.
Kaba kuvvet saldırısı, doğru kombinasyon bulunana kadar birçok kullanıcı adı ve şifreyi kullanarak bir hesaba veya cihaza giriş yapmaya çalışma sürecidir. Tehdit aktörleri, doğru kimlik bilgilerine eriştikten sonra bunları bir cihazı ele geçirmek veya dahili ağa erişim sağlamak için kullanabilir.
Cisco Talos’a göre bu yeni kaba kuvvet kampanyası, belirli kuruluşlarla ilgili geçerli ve genel çalışan kullanıcı adlarının bir karışımını kullanıyor.
Araştırmacılar, saldırıların 18 Mart 2024’te başladığını ve tüm saldırıların, tehdit aktörlerinin bloklardan kaçmak için kullandıkları TOR çıkış düğümleri ve diğer çeşitli anonimleştirme araçlarından ve proxy’lerden kaynaklandığını söylüyor.
Cisco Talos raporu, “Hedef ortama bağlı olarak, bu türden başarılı saldırılar, yetkisiz ağ erişimine, hesap kilitlenmelerine veya hizmet reddi koşullarına yol açabilir” uyarısında bulunuyor.
“Bu saldırılarla ilgili trafik zamanla arttı ve muhtemelen artmaya devam edecek.”
Saldırıları gerçekleştirmek için kullanılan bazı hizmetler arasında TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxy’ler, Nexus Proxy ve Proxy Rack yer alıyor.
Cisco’nun araştırmacıları, bu kampanyanın aktif olarak aşağıdaki hizmetleri hedef aldığını bildiriyor:
- Cisco Güvenli Güvenlik Duvarı VPN’i
- Kontrol noktası VPN’i
- Fortinet VPN’i
- SonicWall VPN’i
- RD Web Hizmetleri
- Mikrotikler
- Draytek
- Her yerde
Kötü niyetli faaliyetin belirli endüstrilere veya bölgelere özel bir odaklanması yok, bu da daha geniş bir rastgele, fırsatçı saldırı stratejisi öneriyor.
Talos ekibi, saldırganların engelleme listelerine eklenecek IP adresleri ve kaba kuvvet saldırılarında kullanılan kullanıcı adları ve şifrelerin listesi de dahil olmak üzere, bu etkinlik için GitHub’da güvenlik ihlali göstergelerinin (IoC’ler) tam bir listesini paylaştı.
Daha önceki saldırılarla olası bağlantılar
Mart 2024’ün sonlarında Cisco, Cisco Güvenli Güvenlik Duvarı cihazlarında yapılandırılmış Uzaktan Erişim VPN (RAVPN) hizmetlerini hedef alan bir parola püskürtme saldırıları dalgası hakkında uyarıda bulundu.
Parola püskürtme saldırıları, zayıf parola politikalarına karşı daha etkilidir; büyük sözlüklerde kaba kuvvet kullanmak yerine, yaygın olarak kullanılan küçük parolalarla birçok kullanıcı adını hedef alır.
Güvenlik araştırmacısı Aaron Martin, gözlemlenen saldırı modellerine ve hedefleme kapsamına dayanarak bu saldırıları ‘Brutus’ adlı kötü amaçlı bir botnet’e bağladı.
Cisco’nun bugün uyardığı saldırıların daha önce görülen saldırıların devamı olup olmadığı henüz doğrulanmadı.
BleepingComputer, iki etkinliğin bağlantılı olup olmadığını açıklığa kavuşturmak için Cisco ile temasa geçti ancak henüz bir yorum gelmedi.