Hackers estão visando VPNs SSL do Cisco Adaptive Security Appliance (ASA) em ataques de força bruta e preenchimento de credenciais que aproveitam falhas nas defesas de segurança, como não aplicar a autenticação multifatorial (MFA).
Na semana passada, o BleepingComputer relatou que a gangue de ransomware Akira estava violando VPNs da Cisco para acesso inicial à rede.
Pesquisadores de segurança da Rapid7 forneceram insights adicionais sobre esses incidentes em um relatório publicado na terça-feira, revelando que os invasores têm direcionado seus esforços para esses dispositivos desde março deste ano em ataques de força bruta projetados para adivinhar as credenciais de login dos alvos.
Eles também disseram que ainda não detectaram nenhum caso em que os atores de ameaças por trás desses ataques tenham burlado o MFA corretamente configurado para violar as VPNs da Cisco.
Isso confirma um alerta da Equipe de Resposta a Incidentes de Segurança de Produtos da Cisco (PSIRT) publicado dois dias após o relatório do BleepingComputer sobre invasores usando ferramentas automatizadas para atacar VPNs da Cisco em ataques de força bruta e de pulverização de senhas.
"Nos cenários de ataque relatados, o registro não foi configurado nos ASAs afetados da Cisco.
Isso tornou desafiador determinar precisamente como os atacantes de ransomware da Akira conseguiram acessar as VPNs", disse Omar Santos, engenheiro principal do PSIRT da Cisco.
"Se um ator de ameaça obtém acesso não autorizado às credenciais de VPN de um usuário, como por meio de ataques de força bruta, o MFA fornece uma camada adicional de proteção para impedir que os atores de ameaças tenham acesso à VPN."
A Rapid7 também revelou que pelo menos 11 clientes foram invadidos em ataques relacionados ao ASA da Cisco entre 30 de março e 24 de agosto, com as violações ligadas a VPNs SSL comprometidas.
Na maioria dos incidentes investigados pela Rapid7, os autores mal-intencionados tentaram fazer login em aparelhos ASA usando nomes de usuários comuns, variando de admin, convidado, kali e cisco a teste, impressora, segurança e inspetor.
A Rapid7 também disse que a maioria dos ataques utilizou infraestrutura semelhante, com os atores de ameaças se conectando a partir de um dispositivo Windows chamado 'WIN-R84DEUE96RB' e usando os endereços de IP 176.124.201[.]200 e 162.35.92[.]242.
Depois de violar os aparelhos VPN, os invasores acessaram remotamente as redes das vítimas usando o software de desktop remoto AnyDesk e comprometeram outros sistemas usando credenciais de domínio roubadas após o despejo do banco de dados do Active Directory NTDS.DIT.
"Diversos incidentes aos quais nossas equipes de serviços gerenciados responderam resultaram na implantação de ransomware pelos grupos Akira e LockBit", disse a Rapid7.
"Esses incidentes reforçam que o uso de credenciais fracas ou padrão continua comum e que as credenciais em geral muitas vezes não são protegidas como resultado da falta de aplicação do MFA nas redes corporativas."
Como o BleepingComputer relatou, um relatório privado do WatchTower da SentinelOne sugere que os operadores da Akira podem estar explorando uma vulnerabilidade não divulgada no software VPN da Cisco que poderia permitir que os invasores contornem a autenticação em sistemas que não possuam proteção MFA.
Ao analisar dados vazados, os analistas de ameaça da SentinelOne também encontraram evidências da exploração dos portais VPN da Cisco pelo Akira.
Administradores e equipes de segurança são aconselhados a desativar contas e senhas padrão para bloquear tentativas de força bruta visando seus sistemas VPN.
Além disso, eles devem garantir que o MFA seja aplicado a todos os usuários de VPN e que o registro seja ativado em todas as VPNs para ajudar na análise de ataques, se necessário.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...