Bilgisayar korsanları, çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmamak gibi güvenlik savunmalarındaki boşluklardan yararlanan kimlik bilgisi doldurma ve kaba kuvvet saldırılarında Cisco Adaptive Security Appliance (ASA) SSL VPN’lerini hedefliyor.
Geçen hafta BleepingComputer, Akira fidye yazılımı çetesinin ilk ağ erişimi için Cisco VPN’lerini ihlal ettiğini bildirdi.
Rapid7 güvenlik araştırmacıları, Salı günü yayınlanan bir raporda bu olaylarla ilgili ek bilgiler sunarak, saldırganların bu yılın Mart ayından bu yana, hedeflerin oturum açma bilgilerini tahmin etmek için tasarlanan kaba kuvvet saldırılarıyla çabalarını bu cihazlara yönelttiklerini ortaya koydu.
Ayrıca, bu saldırıların arkasındaki tehdit aktörlerinin, Cisco VPN’lerini ihlal etmek için uygun şekilde yapılandırılmış MFA’yı atlattığı herhangi bir örneği henüz tespit etmediklerini söylediler.
Bu, Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi’nin (PSIRT), BleepingComputer’ın kaba kuvvet ve parola püskürtme saldırılarında Cisco VPN’leri hedeflemek için otomatik araçlar kullanan saldırganlarla ilgili raporundan iki gün sonra yayınlanan bir tavsiyeyi doğruluyor.
Cisco PSIRT Baş Mühendisi Omar Santos, “Bildirilen saldırı senaryolarında, etkilenen Cisco’nun ASA’larında günlük kaydı yapılandırılmamıştı. Bu, Akira fidye yazılımı saldırganlarının VPN’lere nasıl erişebildiğini tam olarak belirlemeyi zorlaştırdı” dedi.
“Bir tehdit aktörü, kaba kuvvet saldırıları yoluyla kullanıcının VPN kimlik bilgilerine başarılı bir şekilde yetkisiz erişim elde ederse, MFA, tehdit aktörlerinin VPN’ye erişim kazanmasını önlemek için ek bir koruma katmanı sağlar.”
Rapid7 ayrıca 30 Mart ile 24 Ağustos tarihleri arasında Cisco ASA ile ilgili saldırılarda en az 11 müşterinin güvenliği ihlal edilmiş SSL VPN’lerle bağlantılı olarak ihlal edildiğini ortaya çıkardı.
Rapid7 tarafından araştırılan olayların çoğunda kötü niyetli aktörler, yönetici, konuk, kali ve cisco’dan test, yazıcı, güvenlik ve denetçiye kadar uzanan yaygın kullanıcı adlarını kullanarak ASA cihazlarına giriş yapmaya çalıştı.
Rapid7 ayrıca saldırıların çoğunun benzer altyapıyı kullandığını, tehdit aktörlerinin ‘WIN-R84DEUE96RB’ adlı bir Windows cihazından bağlandığını ve 176.124.201’i kullandığını söyledi.[.]200 ve 162.35.92[.]242 IP adresi.
Saldırganlar, VPN cihazlarını ihlal ettikten sonra AnyDesk uzak masaüstü yazılımını kullanarak kurbanların ağlarına uzaktan erişti ve NTDS.DIT Active Directory veritabanını boşalttıktan sonra çalınan etki alanı kimlik bilgilerini kullanarak diğer sistemlerin güvenliğini tehlikeye attı.
Bazı ihlaller LockBit ve Akira fidye yazılımı saldırılarına yol açtı
Rapid7, “Yönetilen hizmet ekiplerimizin müdahale ettiği birçok olay, Akira ve LockBit gruplarının fidye yazılımı dağıtımıyla sonuçlandı” dedi.
“Bu olaylar, zayıf veya varsayılan kimlik bilgilerinin kullanımının hâlâ yaygın olduğunu ve kurumsal ağlarda MFA’nın gevşek uygulanması sonucunda genel olarak kimlik bilgilerinin genellikle korunmadığını güçlendiriyor.”
BleepingComputer’ın bildirdiği gibi, özel bir SentinelOne WatchTower raporu, Akira operatörlerinin Cisco VPN yazılımında, saldırganların çok faktörlü kimlik doğrulama (MFA) koruması olmayan sistemlerde kimlik doğrulamayı atlamasına izin verebilecek açıklanmayan bir güvenlik açığından yararlanıyor olabileceğini öne sürüyor.
SentinelOne tehdit analistleri, sızdırılan verileri analiz ederken aynı zamanda Akira’nın Cisco VPN ağ geçitlerini kullandığına dair kanıtları da ortaya çıkardı.
Yöneticilere ve güvenlik ekiplerine, VPN sistemlerini hedef alan kaba kuvvet girişimlerini engellemek için varsayılan hesapları ve şifreleri devre dışı bırakmaları önerilir.
Ayrıca, gerektiğinde saldırı analizine yardımcı olmak için MFA’nın tüm VPN kullanıcıları için zorunlu kılındığından ve günlük kaydının tüm VPN’lerde etkinleştirildiğinden emin olmalıdırlar.