Bezpieczeństwo sieciowe: Ataki na Cisco VPN
W ostatnim czasie zaobserwowano wzrost ataków na Cisco Adaptive Security Appliance (ASA) SSL VPN. Ataki te polegają głównie na próbach zgadywania danych logowania poprzez tzw. brute-force oraz credential stuffing. Często wykorzystują one luki w zabezpieczeniach, takie jak brak wymuszenia wieloskładnikowego uwierzytelnienia (MFA).
Kluczowe informacje
1. Ataki na Cisco VPN:
W ciągu ostatniego tygodnia portal BleepingComputer poinformował o atakach grupy ransomware Akira na Cisco VPN jako początkowy punkt dostępu do sieci.
2. Badania Rapid7
Badacze z firmy Rapid7 dostarczyli dodatkowe informacje na temat tych incydentów. Ataki na te urządzenia miały miejsce od marca tego roku. W większości przypadków atakujący próbowali zalogować się do urządzeń ASA, używając powszechnych nazw użytkowników, takich jak admin, guest, kali, cisco i inne.
3. Skuteczność MFA
Nie zaobserwowano przypadków, w których atakujący ominęli poprawnie skonfigurowane MFA, aby włamać się do Cisco VPN. Jeśli atakujący zdobywa dostęp do danych uwierzytelniających użytkownika, MFA stanowi dodatkową warstwę ochrony przed dostępem do VPN.
4. Sposób działania atakujących
Po włamaniu się do urządzeń VPN, atakujący zdalnie dostawali się do sieci ofiar za pomocą oprogramowania zdalnego pulpitu AnyDesk. Następnie kompromitowali inne systemy, wykorzystując dane domenowe skradzione po wydobyciu bazy danych Active Directory NTDS.DIT.
5. Konsekwencje ataków Niektóre włamania prowadziły do ataków ransomware, takich jak LockBit i Akira. Te incydenty podkreślają, że korzystanie ze słabych lub domyślnych danych uwierzytelniających jest powszechne, a dane uwierzytelniające często nie są chronione z powodu braku wymuszenia MFA w sieciach korporacyjnych.
6. Zalecenia dla administratorów
Zaleca się dezaktywację domyślnych kont i haseł, aby blokować próby ataków brute-force na systemy VPN. Ponadto należy upewnić się, że MFA jest wymuszane dla wszystkich użytkowników VPN i że rejestrowanie jest włączone we wszystkich VPN, aby pomóc w analizie ataku w razie potrzeby.
Ataki na Cisco VPN stanowią poważne zagrożenie dla bezpieczeństwa sieciowego. Wprowadzenie wieloskładnikowego uwierzytelnienia i ścisłe monitorowanie aktywności sieciowej to kluczowe kroki w kierunku zabezpieczenia sieci przed potencjalnymi atakami.
TAGS: informatyczna obsługa firm Wrocław, opieka informatyczna Wrocław, usługi informatyczne Wrocław
