Η εκστρατεία hacking αναγκάζει τα Cisco VPN να παραβιάσουν δίκτυα
Οι χάκερ στοχεύουν τα SSL VPN του Cisco Adaptive Security Appliance (ASA) σε γεμίσματα διαπιστευτηρίων και επιθέσεις ωμής βίας που εκμεταλλεύονται τα κενά στην άμυνα ασφαλείας, όπως η μη επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Την περασμένη εβδομάδα, η BleepingComputer ανέφερε ότι η συμμορία
ransomware
Akira
παραβίαζε τα VPN της Cisco για αρχική πρόσβαση στο δίκτυο.
Οι ερευνητές ασφαλείας του Rapid7 παρείχαν πρόσθετες πληροφορίες σχετικά με αυτά τα περιστατικά σε μια έκθεση που δημοσιεύθηκε την Τρίτη, αποκαλύπτοντας ότι οι επιτιθέμενοι κατευθύνουν τις προσπάθειές τους προς αυτές τις συσκευές από τον Μάρτιο του τρέχοντος έτους σε επιθέσεις ωμής βίας που έχουν σχεδιαστεί για να μαντέψουν τα διαπιστευτήρια σύνδεσης των στόχων.
Είπαν επίσης ότι δεν έχουν ακόμη εντοπίσει περιπτώσεις όπου οι παράγοντες απειλής πίσω από αυτές τις επιθέσεις έχουν παρακάμψει το σωστά διαμορφωμένο MFA για να παραβιάσει τα VPN της Cisco.
Αυτό επιβεβαιώνει μια συμβουλή από την Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας Προϊόντων (PSIRT) της Cisco που δημοσιεύτηκε δύο ημέρες μετά την αναφορά της BleepingComputer σχετικά με τους εισβολείς που χρησιμοποιούν αυτοματοποιημένα εργαλεία για να στοχεύουν τα Cisco VPN σε επιθέσεις ωμής βίας και ψεκασμού κωδικών πρόσβασης.
“Στα αναφερόμενα σενάρια επίθεσης, η καταγραφή δεν είχε ρυθμιστεί στα επηρεαζόμενα ASA της Cisco. Αυτό έκανε δύσκολο τον ακριβή προσδιορισμό του τρόπου με τον οποίο οι επιτιθέμενοι ransomware της Akira μπόρεσαν να έχουν πρόσβαση στα VPN”, ο κύριος μηχανικός της Cisco PSIRT Omar Santos
είπε
.
“Εάν ένας παράγοντας απειλής αποκτήσει με επιτυχία μη εξουσιοδοτημένη πρόσβαση στα διαπιστευτήρια VPN ενός χρήστη, όπως μέσω επιθέσεων ωμής βίας, το MFA παρέχει ένα πρόσθετο επίπεδο προστασίας για να αποτρέψει τους παράγοντες απειλής από το να αποκτήσουν πρόσβαση στο VPN.”
Το Rapid7 αποκάλυψε επίσης ότι τουλάχιστον 11 πελάτες παραβιάστηκαν σε επιθέσεις που σχετίζονται με το Cisco ASA μεταξύ 30 Μαρτίου και 24 Αυγούστου, με τις παραβιάσεις να συνδέονται με παραβιασμένα SSL VPN.
Στα περισσότερα περιστατικά που διερευνήθηκαν από το Rapid7, οι κακόβουλοι παράγοντες προσπάθησαν να συνδεθούν σε συσκευές ASA χρησιμοποιώντας ονόματα χρηστών που καλύπτουν κοινά, από διαχειριστή, επισκέπτη, kali και cisco μέχρι δοκιμή, εκτυπωτή, ασφάλεια και επιθεωρητή.
Το Rapid7 είπε επίσης ότι οι περισσότερες από τις επιθέσεις χρησιμοποιούσαν παρόμοια υποδομή, με τους παράγοντες απειλής να συνδέονται από μια
συσκευή
Windows που ονομάζεται “WIN-R84DEUE96RB” και να χρησιμοποιούν το 176.124.201[.]200 και 162.35.92[.]242 διευθύνσεις IP.
Μετά την παραβίαση των συσκευών VPN, οι εισβολείς είχαν απομακρυσμένη πρόσβαση στα δίκτυα των θυμάτων χρησιμοποιώντας το
λογισμικό
απομακρυσμένης επιφάνειας εργασίας AnyDesk και παραβίασαν άλλα συστήματα χρησιμοποιώντας διαπιστευτήρια τομέα που είχαν κλαπεί μετά την απόρριψη της βάσης δεδομένων Active Directory NTDS.DIT.
Ορισμένες παραβιάσεις οδήγησαν σε επιθέσεις ransomware LockBit και Akira
“Διάφορα περιστατικά στα οποία ανταποκρίθηκαν οι ομάδες διαχειριζόμενων υπηρεσιών μας κατέληξαν σε ανάπτυξη ransomware από τις ομάδες Akira και LockBit.”
είπε το Rapid7
.
“Αυτά τα περιστατικά ενισχύουν ότι η χρήση αδύναμων ή προεπιλεγμένων διαπιστευτηρίων παραμένει κοινή και ότι τα διαπιστευτήρια γενικά συχνά δεν προστατεύονται ως αποτέλεσμα της χαλαρής επιβολής του MFA στα εταιρικά δίκτυα.”
Όπως ανέφερε το BleepingComputer, μια ιδιωτική αναφορά SentinelOne WatchTower υποδηλώνει ότι οι χειριστές Akira ενδέχεται να αξιοποιούν μια άγνωστη ευπάθεια στο λογισμικό Cisco VPN που θα μπορούσε να επιτρέψει στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας σε συστήματα που δεν διαθέτουν προστασία ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Κατά την ανάλυση δεδομένων που διέρρευσαν, οι αναλυτές απειλών SentinelOne αποκάλυψαν επίσης στοιχεία για την εκμετάλλευση των πυλών VPN της Cisco από την Akira.
Συνιστάται στους διαχειριστές και στις ομάδες ασφαλείας να απενεργοποιούν τους προεπιλεγμένους λογαριασμούς και τους κωδικούς πρόσβασης για να αποκλείσουν τις προσπάθειες ωμής βίας που στοχεύουν τα συστήματα VPN τους.
Επιπλέον, θα πρέπει να διασφαλίσουν ότι το MFA επιβάλλεται για όλους τους χρήστες VPN και ότι η καταγραφή είναι ενεργοποιημένη σε όλα τα VPN για να βοηθήσει στην ανάλυση επιθέσεων, εάν χρειάζεται.
