Cisco, dünya çapında Cisco, Checkpoint, Fortinet, Sonicwall ve Ubiquiti cihazlarında VPN ve SSH hizmetlerini hedefleyen büyük ölçekli bir kimlik bilgisi kaba kampanyası konusunda uyarıyor.
Brute kuvvet saldırısı, doğru kombinasyon bulunana kadar birçok kullanıcı adı ve parola kullanarak bir hesaba veya cihaza giriş yapmaya çalışma işlemidir. Doğru kimlik bilgilerine eriştikten sonra, tehdit aktörleri bunları bir cihazı ele geçirmek veya dahili ağa erişmek için kullanabilir.
Cisco Talos'a göre, bu yeni kaba kuvvet kampanyası belirli kuruluşlarla ilgili geçerli ve genel çalışan kullanıcı adlarının bir karışımını kullanıyor.
Araştırmacılar, saldırıların 18 Mart 2024'te başladığını, tüm saldırıların Tor çıkış düğümlerinden ve tehdit aktörlerinin bloklardan kaçınmak için kullandığı diğer çeşitli anonimleştirme araçlarından ve vekillerinden kaynaklandığını söylüyor.
Cisco Talos raporunda, "Hedef ortama bağlı olarak, bu türden başarılı saldırılar, yetkisiz ağ erişimine, hesap kilitlenmelerine veya hizmet reddi koşullarına yol açabilir."
Diyerek şöyle devam etti: "Bu saldırılarla ilgili trafik zamanla arttı ve muhtemelen artmaya devam edecek."
Saldırıları yürütmek için kullanılan bazı hizmetler arasında Tor, VPN Gate, Ipidea Proxy, Bigsamama Proxy, Space Proxy, Nexus Proxy ve Proxy Rafı bulunmaktadır.
Cisco'nun araştırmacıları, aşağıdaki hizmetlerin bu kampanya tarafından aktif olarak hedeflendiğini bildirdi:
Kötü niyetli etkinlik, belirli endüstrilere veya bölgelere özel bir odaklanmadan yoksundur ve daha geniş bir rastgele, fırsatçı saldırı stratejisi önermektedir.
Talos ekibi, GitHub'daki bu etkinlik için, Block Lyists'e dahil edilmek üzere IP adresleri ve kaba kuvvet saldırılarında kullanılan kullanıcı adlarının ve şifrelerin listesi de dahil olmak üzere GitHub'daki bu etkinlik için tam bir uzlaşma göstergeleri listesini paylaştı.
Mart 2024'ün sonlarında Cisco, Cisco Secure Güvenli Güvenlik Duvarı cihazlarında yapılandırılmış uzaktan erişim VPN (RAVPN) hizmetlerini hedefleyen bir şifre püskürtme saldırıları dalgası konusunda uyardı.
Şifre püskürtme saldırıları, zayıf şifre politikalarına karşı daha etkilidir ve birçok kullanıcı adını büyük sözlük kabarık zorlama yerine yaygın olarak kullanılan parola ile hedefler.
Güvenlik araştırmacısı Aaron Martin, bu saldırıları gözlemlenen saldırı modellerine ve hedefleme kapsamına dayanarak 'Brutus' adlı kötü amaçlı bir botnet ile ilişkilendirdi.
Cisco'nun bugün hakkında uyarı yaptığı saldırıların daha önce görülenlerin devamı olup olmadığı doğrulanmamıştır.
BleepingComputer, iki etkinliğin bağlı olup olmadığını açıklığa kavuşturmak için Cisco ile temasa geçti, ancak bir yorum hemen mevcut değildi.
Cisco, VPN hizmetlerini hedefleyen şifre püskürtme saldırılarını uyarıyor
Cisco, kamu istismar kodu ile kök artış kusurunu açıklar
Putty SSH İstemci Kususu, şifreleme özel anahtarlarının kurtarılmasına izin verir
Cisco Duo, üçüncü taraf veri ihlalini açıklayan SMS MFA günlüklerini uyarıyor
DuckDuckgo Premium Prigeracy Pro VPN Hizmeti başlattı
Kaynak: Bleeping Computer