Une attaque de mot de passe par force brute à grande échelle utilisant près de 2,8 millions d’adresses IP est en cours, tentant de deviner les informations d’identification d’un large éventail de périphériques réseau, y compris ceux de Palo Alto Networks, Ivanti et SonicWall.
Une attaque par force brute se produit lorsque des acteurs malveillants tentent de se connecter à plusieurs reprises à un compte ou à un appareil en utilisant de nombreux noms d’utilisateur et mots de passe jusqu’à ce que la combinaison correcte soit trouvée. Une fois qu’ils ont accès aux informations d’identification correctes, les acteurs de la menace peuvent ensuite les utiliser pour détourner un appareil ou accéder à un réseau.
Selon la plateforme de surveillance des menaces The Shadowserver Foundation, une attaque par force brute est en cours depuis le mois dernier, utilisant près de 2,8 millions d’adresses IP sources quotidiennement pour effectuer ces attaques.
La plupart d’entre eux (1,1 million) viennent du Brésil, suivis de la Turquie, de la Russie, de l’Argentine, du Maroc et du Mexique, mais il y a généralement un très grand nombre de pays d’origine qui participent à l’activité.
Ce sont des dispositifs de sécurité périphériques tels que des pare-feu, des VPN, des passerelles et d’autres dispositifs de sécurité, souvent exposés à Internet pour faciliter l’accès à distance.
Les appareils qui mènent ces attaques sont principalement des routeurs et des IOT MikroTik, Huawei, Cisco, Boa et ZTE, qui sont généralement compromis par de grands réseaux de zombies malveillants.
Dans une déclaration à Breachtrace, La Fondation Shadowserver a confirmé que l’activité était en cours depuis un certain temps, mais qu’elle avait récemment augmenté à une échelle beaucoup plus grande.
ShadowServer a également déclaré que les adresses IP attaquantes sont réparties sur de nombreux réseaux et systèmes autonomes et sont probablement un botnet ou une opération associée à des réseaux proxy résidentiels.
Les proxys résidentiels sont des adresses IP attribuées aux clients consommateurs des fournisseurs de services Internet (FAI), ce qui les rend très recherchés pour une utilisation dans la cybercriminalité, le grattage, les contournements de géo-restriction, la vérification des publicités, le scalping des baskets/tickets, etc.
Ces proxys acheminent le trafic Internet via des réseaux résidentiels, donnant l’impression que l’utilisateur est un utilisateur domestique régulier plutôt qu’un bot, un grattoir de données ou un pirate informatique.
Les périphériques passerelles tels que ceux ciblés par cette activité pourraient être utilisés comme nœuds de sortie proxy dans les opérations de proxy résidentielles, acheminant le trafic malveillant via le réseau d’entreprise d’une organisation.
Ces nœuds sont considérés comme « de haute qualité » car les organisations ont une bonne réputation et les attaques sont plus difficiles à détecter et à arrêter.
Les étapes pour protéger les périphériques périphériques contre les attaques par force brute incluent la modification du mot de passe administrateur par défaut en un mot de passe fort et unique, l’application de l’authentification multifacteur (MFA), l’utilisation d’une liste d’adresses IP approuvées et la désactivation des interfaces d’administration Web si elles ne sont pas nécessaires.
En fin de compte, l’application des dernières mises à jour du micrologiciel et de la sécurité sur ces appareils est cruciale pour éliminer les vulnérabilités que les auteurs de menaces peuvent exploiter pour obtenir un accès initial.
En avril dernier, Cisco a mis en garde contre une campagne de forçage brutal des informations d’identification à grande échelle ciblant les appareils Cisco, CheckPoint, Fortinet, SonicWall et Ubiquiti dans le monde entier.
En décembre, Citrix a également mis en garde contre les attaques par pulvérisation de mots de passe ciblant les appareils Citrix Netscaler dans le monde entier.