Cisco a partagé un ensemble de recommandations à l’intention des clients pour atténuer les attaques par pulvérisation de mots de passe qui ciblent les services VPN d’accès à distance (RAVPN) configurés sur les périphériques Cisco Secure Firewall.

La société affirme que les attaques ont également ciblé d’autres services VPN d’accès à distance et semblent faire partie d’une activité de reconnaissance.

Lors d’une attaque par pulvérisation de mots de passe, un adversaire essaie le même mot de passe avec plusieurs comptes pour tenter de se connecter.

Le guide d’atténuation de Cisco répertorie les indicateurs de compromission (IOC) pour cette activité afin d’aider à détecter les attaques et à les bloquer.

Ceci inclut l’incapacité d’établir des connexions VPN avec le client sécurisé Cisco (AnyConnect) lorsque la posture du pare-feu (HostScan) est activée.

Effet secondaire de l’état DoS causé par les attaques

Un autre signe est une quantité inhabituelle de demandes d’authentification enregistrées par les journaux système.

Les recommandations de Cisco pour se défendre contre ces attaques incluent:

  • Activation de la journalisation sur un serveur syslog distant pour améliorer l’analyse et la corrélation des incidents.
  • Sécurisation des profils VPN d’accès à distance par défaut en pointant les profils de connexion par défaut inutilisés vers un serveur AAA sinkhole pour empêcher tout accès non autorisé.
  • Tirer parti de TCP shun pour bloquer manuellement les adresses IP malveillantes.
  • Configuration des listes de contrôle d’accès du plan de contrôle pour filtrer les adresses IP publiques non autorisées qui lancent des sessions VPN.
  • Utilisation de l’authentification basée sur un certificat pour RA VPN, qui fournit une méthode d’authentification plus sécurisée que les informations d’identification traditionnelles.

Liens vers le botnet Brutus
Le chercheur en sécurité Aaron Martin a déclaré à Breachtrace que l’activité observée par Cisco provenait probablement d’un botnet malveillant non documenté qu’il a nommé « Brutus ».’ La connexion est basée sur la portée du ciblage et les schémas d’attaque particuliers.

Martin a publié un rapport sur le botnet Brutus décrivant les méthodes d’attaque inhabituelles que lui et l’analyste Chris Grube ont observées depuis le 15 mars. Le rapport note que le botnet s’appuie actuellement sur 20 000 adresses IP dans le monde entier, couvrant diverses infrastructures allant des services cloud aux adresses IP résidentielles.

Les attaques que Martin a observées ciblaient initialement les appliances SSLVPN de Fortinet, Palo Alto, SonicWall et Cisco, mais se sont maintenant étendues pour inclure également les applications Web qui utilisent Active Directory pour l’authentification.

Brutus fait pivoter ses adresses IP toutes les six tentatives pour échapper à la détection et au blocage, tout en utilisant des noms d’utilisateur très spécifiques non divulgués qui ne sont pas disponibles dans les décharges de données publiques.

Cet aspect des attaques soulève des inquiétudes quant à la manière dont ces noms d’utilisateur ont été obtenus et pourrait indiquer une violation non divulguée ou l’exploitation d’une vulnérabilité zero-day.

Bien que les opérateurs de Brutus soient inconnus, Martin a identifié deux adresses IP qui ont été associées aux activités passées d’APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear), un groupe de menaces d’espionnage qui travaillerait pour le Service de renseignement extérieur russe (SVR).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *