Cisco met en garde contre une campagne de forçage brutal des informations d’identification à grande échelle ciblant les services VPN et SSH sur les appareils Cisco, CheckPoint, Fortinet, SonicWall et Ubiquiti dans le monde entier.
Une attaque par force brute est le processus consistant à tenter de se connecter à un compte ou à un appareil en utilisant de nombreux noms d’utilisateur et mots de passe jusqu’à ce que la combinaison correcte soit trouvée. Une fois qu’ils ont accès aux informations d’identification correctes, les acteurs de la menace peuvent ensuite les utiliser pour détourner un appareil ou accéder au réseau interne.
Selon Cisco Talos, cette nouvelle campagne de force brute utilise un mélange de noms d’utilisateur d’employés valides et génériques liés à des organisations spécifiques.
Les chercheurs affirment que les attaques ont commencé le 18 mars 2024, alors que toutes les attaques proviennent de nœuds de sortie TOR et de divers autres outils et proxys d’anonymisation, que les acteurs de la menace utilisent pour échapper aux blocages.
« Selon l’environnement cible, des attaques réussies de ce type peuvent entraîner un accès réseau non autorisé,des verrouillages de compte ou des conditions de déni de service », prévient le rapport Cisco Talos.
« Le trafic lié à ces attaques a augmenté avec le temps et devrait continuer à augmenter. »
Certains services utilisés pour mener les attaques incluent TOR, VPN Gate, Proxy IPIDEA, Proxy BigMama, Proxys spatiaux, Proxy Nexus et Rack Proxy.
Les chercheurs de Cisco signalent que les services suivants sont activement ciblés par cette campagne:
- VPN pare-feu sécurisé Cisco
- VPN de Point de contrôle
- VPN Fortinet
- Réseau privé virtuel SonicWall
- Services Web de Bureau Régional
- Mikrotique
- Draitek
- Ubiquitis
L’activité malveillante ne se concentre pas spécifiquement sur des industries ou des régions particulières, ce qui suggère une stratégie plus large d’attaques aléatoires et opportunistes.
L’équipe Talos a partagé une liste complète des indicateurs de compromission (IOC) pour cette activité sur GitHub, y compris les adresses IP des attaquants à inclure dans les listes de blocage et la liste des noms d’utilisateur et mots de passe utilisés dans les attaques par force brute.
Liens possibles avec des attaques antérieures
Fin mars 2024, Cisco a mis en garde contre une vague d’attaques par pulvérisation de mots de passe ciblant les services VPN d’accès à distance (RAVPN) configurés sur les périphériques Cisco Secure Firewall.
Les attaques par pulvérisation de mots de passe sont plus efficaces contre les stratégies de mots de passe faibles, ciblant de nombreux noms d’utilisateur avec un petit ensemble de mots de passe couramment utilisés au lieu de forcer brutalement un dictionnaire volumineux.
Le chercheur en sécurité Aaron Martin a attribué ces attaques à un botnet malveillant appelé « Brutus », sur la base des schémas d’attaque observés et de la portée du ciblage.
Il reste à vérifier si les attaques dont Cisco met en garde aujourd’hui sont la continuation de celles vues précédemment.
Breachtrace a contacté Cisco pour clarifier si les deux activités sont connectées, mais un commentaire n’était pas immédiatement disponible.