Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Witold Kepinski - 17 april 2024

Cisco Talos: brute-force-activiteit gericht op VPN en SSH services

Cisco Talos houdt sinds ten minste 18 maart 2024 actief toezicht op een wereldwijde toename van brute-force-aanvallen tegen verschillende doelen, waaronder Virtual Private Network (VPN)-services, authenticatie-interfaces voor webapplicaties en SSH-services.

Cybersecurity Security Netwerken Applicaties Internet
Cisco Talos: brute-force-activiteit gericht op VPN en SSH services image

Talos meldt: 'Deze aanvallen lijken allemaal afkomstig te zijn van TOR-exitknooppunten en een reeks andere anonimiserende tunnels en proxy's.

Afhankelijk van de doelomgeving kunnen succesvolle aanvallen van dit type leiden tot ongeoorloofde netwerktoegang, accountblokkering of denial-of-service-omstandigheden. Het verkeer dat verband houdt met deze aanvallen is in de loop van de tijd toegenomen en zal waarschijnlijk blijven stijgen. Bekende getroffen services worden hieronder vermeld. Aanvullende services kunnen echter door deze aanvallen worden beïnvloed.

  • Cisco Secure Firewall-VPN
  • Checkpoint-VPN
  • Fortinet VPN
  • SonicWall-VPN
  • RD-webservices
  • Miktrotik
  • Draytek
  • Ubiquiti

Bij de brute force-pogingen worden generieke gebruikersnamen en geldige gebruikersnamen voor specifieke organisaties gebruikt. Het lijkt erop dat deze aanvallen willekeurig zijn gericht en niet op een bepaalde regio of bedrijfstak zijn gericht. De bron-IP-adressen voor dit verkeer worden doorgaans geassocieerd met proxyservices, waaronder, maar niet beperkt tot:

  • TOR
  • VPN-poort
  • IPIDEA-proxy
  • BigMama-proxy
  • Ruimteproxy's
  • Nexus-proxy
  • Proxy-rek

De bovenstaande lijst is niet-uitputtend, aangezien aanvullende diensten kunnen worden gebruikt door bedreigingsactoren.

Vanwege de aanzienlijke toename en het hoge verkeersvolume hebben we de bekende bijbehorende IP-adressen aan onze blokkeerlijst toegevoegd. Het is belangrijk op te merken dat de bron-IP-adressen voor dit verkeer waarschijnlijk zullen veranderen.

Begeleiding

Omdat deze aanvallen zich op verschillende VPN-services richten, zullen de maatregelen variëren afhankelijk van de getroffen service. Voor Cisco VPN-services voor externe toegang kunt u begeleiding en aanbevelingen vinden in een recente ondersteuningsblog van Cisco:

Best practices tegen wachtwoordspray-aanvallen die van invloed zijn op VPN-services voor externe toegang

IOC's

We nemen de gebruikersnamen en wachtwoorden die bij deze aanvallen worden gebruikt op in de IOC's ter bewustwording. IP-adressen en inloggegevens die aan deze aanvallen zijn gekoppeld, zijn hier te vinden in onze GitHub-repository.'

Cisco Talos wil Brandon White van Cisco Talos en Phillip Schafer, Mike Moran en Becca Lynch van het Duo Security Research-team bedanken voor hun onderzoek dat heeft geleid tot de identificatie van deze aanvallen.

Dutch IT events

Event icon

Event

Dutch IT Golf Cup

Event icon

Event

Dutch IT Security Day

Alle events

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Editor-in-Chief en Director Content en mede-aandeelhouder van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.