"شركة Cisco تحذر من هجمات رش كلمات المرور التي تستهدف خدمات VPN"

"شركة Cisco تحذر من هجمات رش كلمات المرور التي تستهدف خدمات VPN" - جهاز الكمبيوتر النائم

+0.97% Pre

سيسكو سيستمز

CSCO

59.33

59.42

+0.97%

+0.15%

Pre

https://www.bleepingcomputer.com/news/security/cisco-warns-of-password-spraying-attacks-targeting-vpn-services/

شاركت Cisco مجموعة من التوصيات للعملاء للتخفيف من هجمات رش كلمة المرور التي تستهدف خدمات Remote Access VPN (RAVPN) التي تم تكوينها على أجهزة Cisco Secure Firewall.

وتقول الشركة إن الهجمات استهدفت أيضًا خدمات VPN أخرى للوصول عن بعد ويبدو أنها جزء من نشاط الاستطلاع.

أثناء هجوم رش كلمة المرور، يحاول الخصم استخدام نفس كلمة المرور مع حسابات متعددة في محاولة لتسجيل الدخول.

يسرد دليل التخفيف من Cisco مؤشرات الاختراق (IoCs) لهذا النشاط للمساعدة في اكتشاف الهجمات وحظرها.

يتضمن ذلك عدم القدرة على إنشاء اتصالات VPN مع Cisco Secure Client (AnyConnect) عند تمكين وضع جدار الحماية (HostScan).

علامة أخرى هي وجود كمية غير عادية من طلبات المصادقة المسجلة بواسطة سجلات النظام.

تتضمن توصيات Cisco للوقاية من هذه الهجمات ما يلي:

تمكين التسجيل إلى خادم سجل النظام عن بعد لتحسين تحليل الحوادث والارتباط.
تأمين ملفات تعريف VPN الافتراضية للوصول عن بعد عن طريق توجيه ملفات تعريف الاتصال الافتراضية غير المستخدمة إلى خادم AAA لمنع الوصول غير المصرح به.
الاستفادة من TCP shun لحظر عناوين IP الضارة يدويًا.
تكوين قوائم ACL لمستوى التحكم لتصفية عناوين IP العامة غير المصرح بها من بدء جلسات VPN.
استخدام المصادقة المستندة إلى الشهادة لـ RAVPN، والتي توفر طريقة مصادقة أكثر أمانًا من بيانات الاعتماد التقليدية.

روابط إلى بروتوس الروبوتات

صرح الباحث الأمني آرون مارتن لـ BleepingComputer أن النشاط الذي لاحظته شركة Cisco من المحتمل أن يكون من شبكة الروبوتات الضارة غير الموثقة التي أطلق عليها اسم "Brutus". يعتمد الاتصال على نطاق الاستهداف وأنماط الهجوم المحددة.

نشر مارتن تقريرًا عن شبكة الروبوتات Brutus يصف أساليب الهجوم غير العادية التي لاحظها هو والمحلل كريس جروب منذ 15 مارس. ويشير التقرير إلى أن شبكة الروبوتات تعتمد حاليًا على 20 ألف عنوان IP في جميع أنحاء العالم، وتغطي البنى التحتية المختلفة بدءًا من الخدمات السحابية وحتى عناوين IP السكنية.

استهدفت الهجمات التي لاحظها مارتن في البداية أجهزة SSLVPN من Fortinet وPalo Alto وSonicWall وCisco، ولكنها توسعت الآن لتشمل أيضًا تطبيقات الويب التي تستخدم Active Directory للمصادقة.

يقوم Brutus بتدوير عناوين IP الخاصة به كل ست محاولات لتجنب الكشف والحظر، بينما يستخدم أسماء مستخدمين محددة للغاية لم يتم الكشف عنها والتي لا تتوفر في عمليات تفريغ البيانات العامة.

يثير هذا الجانب من الهجمات مخاوف بشأن كيفية الحصول على أسماء المستخدمين هذه وقد يشير إلى حدوث خرق غير معلن أو استغلال لثغرة يوم الصفر.

على الرغم من أن مشغلي Brutus غير معروفين، فقد حدد مارتن عنواني IP مرتبطين بالأنشطة السابقة لـ APT29 (Midnight Blizzard، NOBELIUM، Cozy Bear)، وهي مجموعة تهديد تجسس يُعتقد أنها تعمل لصالح جهاز المخابرات الخارجية الروسية (SVR).

المزيد ترجمة هذه الصفحة آلية. تحاول منصة سهم تحسين الترجمة ولكن لا تضمن دقتها وموثوقيتها، ولن تتحمل المسؤولية عن أي خسارة أو ضرر بسبب عدم دقة أو إغفال في الترجمة. *المخاطر وإخلاء المسؤولية: يمثل المحتوى أعلاه المسؤولية الشخصية للمؤلف وآرائه فقط، ولا يمثل أي مسؤولية لمنصة سهم، ولا يمكن لمنصة سهم تأكيد صحة ودقة ومصداقية المحتوى أعلاه. يجب على المستثمرين مراعاة مخاطر المنتجات الاستثمارية على ضوء ظروفهم الخاصة قبل اتخاذ أي قرارات استثمارية. عند الضرورة، يرجى استشارة مستشار استثمار محترف. لا تقدم منصة سهم أي مشورة استثمارية، ولا تقدم أي التزامات أو ضمانات.