Palo Alto Networks, Ivanti ve Sonicwall’dan da dahil olmak üzere çok çeşitli ağ cihazları için kimlik bilgilerini tahmin etmeye çalışarak, yaklaşık 2,8 milyon IP adresi kullanan büyük ölçekli bir kaba kuvvet şifresi saldırısı devam ediyor.
Brute kuvvet saldırısı, tehdit aktörlerinin doğru kombinasyon bulunana kadar birçok kullanıcı adı ve şifre kullanarak tekrar tekrar bir hesaba veya cihaza giriş yapmaya çalıştığıdır. Doğru kimlik bilgilerine eriştikten sonra, tehdit aktörleri bunları bir cihazı ele geçirmek veya bir ağa erişmek için kullanabilir.
Tehdit izleme platformuna göre Shadowserver Foundation, geçen aydan bu yana bu saldırıları gerçekleştirmek için günlük yaklaşık 2,8 milyon kaynak IP adresi kullanıyor.
Bunların çoğu (1.1 milyon) Brezilya’dan, ardından Türkiye, Rusya, Arjantin, Fas ve Meksika izliyor, ancak genellikle çok sayıda faaliyete katılan çok sayıda menşe ülke var.
Bunlar, uzaktan erişimi kolaylaştırmak için genellikle internete maruz kalan güvenlik duvarları, VPN’ler, ağ geçitleri ve diğer güvenlik cihazları gibi Edge güvenlik cihazlarıdır.
Bu saldırıları yürüten cihazlar çoğunlukla Mikrotik, Huawei, Cisco, Boa ve ZTE yönlendiricileri ve IOT’lardır, bu da yaygın olarak büyük kötü amaçlı botnetler tarafından tehlikeye atılır.
BleepingComputer’a yaptığı açıklamada, Shadowserver Foundation, etkinliğin bir süredir devam ettiğini ancak son zamanlarda çok daha büyük bir ölçeğe yükseldiğini doğruladı.
Shadowserver ayrıca saldıran IP adreslerinin birçok ağ ve otonom sisteme yayıldığını ve muhtemelen bir botnet veya konut proxy ağlarıyla ilişkili bir işlem olduğunu söyledi.
Konut vekilleri, İnternet Servis Sağlayıcılarının (ISS) tüketici müşterilerine atanan IP adresleridir, bu da onları siber suç, kazıma, coğrafi restriction bypass, ad doğrulama, spor ayakkabı/bilet scalping ve daha fazlasında kullanılmak üzere çok aranır.
Bu vekiller, internet trafiğini konut ağları aracılığıyla yönlendirerek, kullanıcının bot, veri kazıyıcı veya hacker yerine normal bir ev kullanıcısı olduğu görülür.
Bu etkinlik tarafından hedeflenenler gibi ağ geçidi cihazları, konut proxy işlemlerinde proxy çıkış düğümleri olarak kullanılabilir ve bir kuruluşun kurumsal ağı üzerinden kötü niyetli trafiği yönlendirebilir.
Kuruluşların iyi bir üne sahip olduğu ve saldırıların tespit edilmesi ve durması daha zor olduğu için bu düğümler “yüksek kaliteli” olarak kabul edilir.
Kenar cihazlarını kaba zorlama saldırılarından korumak için adımlar, varsayılan yönetici şifresini güçlü ve benzersiz bir parolayı değiştirmek, çok faktörlü kimlik doğrulamayı (MFA) uygulamak, güvenilir IP’lerin bir izin verilmesini kullanmak ve gerekli değilse Web Yöneticisi arayüzlerini devre dışı bırakmayı içerir. .
Nihayetinde, bu cihazlarda en son ürün yazılımı ve güvenlik güncellemelerini uygulamak, tehdit aktörlerin başlangıç erişimini elde edebileceği güvenlik açıklarını ortadan kaldırmada çok önemlidir.
Geçtiğimiz Nisan ayında Cisco, dünya çapında Cisco, Checkpoint, Fortinet, Sonicwall ve Ubiquiti cihazlarını hedefleyen büyük ölçekli bir kimlik bilgisi kaba çalıştırma kampanyası konusunda uyardı.
Aralık ayında Citrix, Citrix Netscaler Cihazları Worlwide’ı hedefleyen şifre sprey saldırıları konusunda da uyardı.