Mart 2023’ten bu yana (ve muhtemelen daha da öncesinde), Akira ve LockBit fidye yazılımı operatörlerinin bağlı kuruluşları, Cisco ASA SSL VPN cihazları aracılığıyla kuruluşlara saldırıyor.
“Bazı durumlarda, saldırganlar zayıf veya varsayılan parolalardan yararlanan kimlik bilgisi doldurma saldırıları gerçekleştirdi; diğerlerinde, gözlemlediğimiz etkinlik, çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmediği veya tüm kullanıcılar için zorunlu kılınmadığı (yani, MFA bypass grupları aracılığıyla) ASA cihazlarına yönelik hedefli kaba kuvvet saldırılarının sonucu gibi görünüyor. Rapid7 araştırmacıları Salı günü şunları söyledi.
MFA saldırıları zorlaştırıyor
Cisco’nun Ürün Güvenliği Olaylarına Müdahale Ekibi’nin (PSIRT) baş mühendislerinden Omar Santos, geçen hafta saldırganların VPN kullanıcıları için MFA’yı yapılandırmamış kuruluşları hedef alıyor gibi görünen örnekler gördüklerini doğruladı.
Rapid7’nin olay müdahale ekipleri Mart ayından bu yana Cisco ASA ile ilgili izinsiz girişleri içeren on bir olayı araştırdı ve şunları buldu:
- Güvenliği ihlal edilen cihazlar farklı yama düzeylerindeydi
- Günlükler otomatik saldırılara işaret ediyor (birçok başarısız oturum açma girişimi birbirinin milisaniyeleri içinde gerçekleşiyor)
- Bu girişimlerde kullanılan kullanıcı adları – yönetici, kali, Cisco, misafir, Ölçek, güvenlikvb. – kaba zorlamaya işaret eder
“Bazı durumlarda giriş denemelerindeki kullanıcı adları gerçek alan kullanıcılarına aitti” diye eklediler. Kimlik bilgilerinin daha önceki saldırılarda ele geçirilip karanlık ağda satılması da mümkün.
Araştırmacılar, kullanıcı adı/şifre kombinasyonuyla 4.865 Cisco SSL VPN hizmetini ve 9.870 Fortinet VPN hizmetini ele geçirdiğini iddia eden, tanınmış bir ilk erişim komisyoncusunun 2023’ün başlarında yer altı forumlarında satılan bir kılavuzu analiz etti. deneme:test.
“Karanlık ağ tartışmasının zamanlaması ve gözlemlediğimiz artan tehdit faaliyeti göz önüne alındığında, kılavuzdaki talimatların Cisco ASA VPN’leri hedef alan kaba kuvvet saldırılarındaki artışa katkıda bulunmuş olması mümkündür” diye belirttiler.
Kuruluşlar için tavsiyeler
Hem Cisco hem de Rapid7, kuruluşlara tüm kullanıcılar için MFA ile VPN cihazlarına erişimi korumalarını ve bu cihazlarda olup bitenler hakkında daha fazla bilgi sahibi olmak için bu cihazlarda kesinlikle günlük kaydı ayarlamalarını tavsiye etti.
Rapid7 araştırmacıları, “Yönetilen hizmet ekiplerimizin 2023’ün ilk yarısında müdahale ettiği tüm olayların neredeyse %40’ı, VPN veya sanal masaüstü altyapısında MFA eksikliğinden kaynaklandı” dedi.
Arctic Wolf IR ekibi, Temmuz 2023’te birden fazla Akira fidye yazılımı saldırısına (çoğunlukla küçük ve orta ölçekli işletmelere) yanıt verdikten sonra benzer bir şeyi fark etti: “Kurban kuruluşların çoğunluğunun VPN’lerinde çok faktörlü kimlik doğrulama etkin değildi.”
Rapid7 ayrıca kuruluşları varsayılan hesapları devre dışı bırakmaya, varsayılan şifreleri sıfırlamaya, cihazlara derhal düzeltme eki uygulamaya ve başarısız kimlik doğrulama girişimlerindeki kalıplar için günlükleri izlemeye çağırdı.
Saldırganlar tarafından kullanılan ek taktikler, teknikler ve prosedürler (TTP’ler) konusunda güncel kalmak ve bunların kullanılmasını engellemek ve/veya tespit etmek için savunmalar oluşturmak, kurumsal varlıkları güvende tutmak açısından çok önemlidir.