A equipe de cibersegurança da Cisco, chamada Talos, emitiu um alerta sobre ataques hacker que tentam, em larga escala, comprometer credenciais, visando indiscriminadamente redes ao redor do mundo com tentativas de login para obter acesso não autorizado a VPNs, SSHs e contas de aplicativos na web.
Os ataques teriam iniciado por volta do dia 18 de março, com o alerta do Talos sendo divulgado semanas após a Cisco advertir sobre uma campanha de ataque hacker semelhante.
A empresa descreveu os incidentes como um "spray de senha" dirigido às VPNs de acesso remoto, tanto da própria Cisco quanto de terceiros, ligadas a firewalls da companhia.
De acordo com a Cisco, essa campanha estaria ligada a esforços de reconhecimento digital.
Os ataques foram organizados com centenas de milhares, ou até milhões, de tentativas de autenticação fracassadas.
A Cisco reportou que os usuários podem receber, esporadicamente, a mensagem de erro: “Não foi possível completar a conexão. Cisco Secure Desktop não instalado no cliente.” As tentativas frustradas de login, que resultaram nessa mensagem, não conseguiram conectar à VPN.
A companhia também notificou "sintomas de falhas na alocação de token hotscan".
Um representante da Cisco afirmou que, embora não haja evidências diretas que conectem as duas séries de tentativas ao mesmo agente, existem similaridades técnicas na execução dos ataques e na infraestrutura usada pelos atacantes.
O Talos também destacou que os serviços visados na campanha de ataque incluem, entre outros:
- VPN de firewall seguro Cisco;
- VPN de Check Point;
- VPN Fortinet;
- VPN Sonic Wall;
- Serviços Web RD;
- Mikrotik;
- Draytek;
- Ubiquiti.
Além disso, os IP de anonimato pareciam estar associados a serviços como:
- Termos de Referência;
- Portão VPN;
- Proxy IPIDEA;
- Proxy BigMama;
- Proxies Espaciais;
- Proxy Nexus;
- Rack de proxy.
A Cisco já bloqueou os IPs em questão em sua oferta de VPN e aconselha outras organizações a fazerem o mesmo com quaisquer VPNs de terceiros em uso.
No link disponível no comunicado, é possível encontrar a lista completa de indicadores de comprometimento relacionados ao ataque.
A Cisco também fornece várias recomendações para gestores de TI e usuários para prevenir o sucesso desses ataques, incluindo:
- Habilitar login detalhado, idealmente para um servidor syslog remoto, permitindo que os administradores identifiquem e correlacionem ataques em diferentes pontos da rede;
- Proteger contas de acesso remoto padrão, aplicando sinkholing, a menos que utilizem os perfis DefaultRAGroup e DefaultWEBVPNGroup;
- Bloquear tentativas de conexão de fontes mal-intencionadas já conhecidas;
- Implementar listas de controle de acesso tanto no nível da interface quanto no plano de controle, para filtrar IP públicos não autorizados e negar inícios de sessões VPN remotas não autorizadas;
- Utilizar autenticação baseada em certificado para VPNs de acesso remoto.
Para mais recomendações da Cisco sobre como fortalecer as VPNs, pode-se consultar o link fornecido pela empresa.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...