Les pirates ciblent les VPN SSL Cisco Adaptive Security Appliance (ASA) dans le cadre d’attaques de bourrage d’informations d’identification et de force brute qui tirent parti des failles des défenses de sécurité, telles que la non-application de l’authentification multifacteur (MFA).
La semaine dernière, Breachtrace a signalé que le gang du ransomware Akira violait les VPN Cisco pour l’accès initial au réseau.
Les chercheurs en sécurité de Rapid7 ont fourni des informations supplémentaires sur ces incidents dans un rapport publié mardi, révélant que les attaquants dirigent leurs efforts vers ces appareils depuis mars de cette année dans des attaques par force brute conçues pour deviner les informations de connexion des cibles.
Ils ont également déclaré qu’ils n’avaient pas encore détecté de cas où les acteurs malveillants à l’origine de ces attaques auraient contourné la MFA correctement configurée pour violer les VPN Cisco.
Cela confirme un avis de l’équipe de réponse aux incidents de sécurité des produits (PSIRT) de Cisco publié deux jours après le rapport de Breachtrace concernant les attaquants utilisant des outils automatisés pour cibler les VPN Cisco dans le cadre d’attaques par force brute et par pulvérisation de mots de passe.
« Dans les scénarios d’attaque signalés, la journalisation n’était pas configurée dans les ASA de Cisco concernés. Cela a rendu difficile la détermination précise de la manière dont les attaquants du ransomware Akira ont pu accéder aux VPN », a déclaré Omar Santos, ingénieur principal de Cisco PSIRT.
« Si un acteur malveillant parvient à obtenir un accès non autorisé aux informations d’identification VPN d’un utilisateur, par exemple via des attaques par force brute, MFA fournit une couche de protection supplémentaire pour empêcher les acteurs malveillants d’accéder au VPN. »
Rapid7 a également révélé qu’au moins 11 clients ont été victimes d’attaques liées à Cisco ASA entre le 30 mars et le 24 août, les violations étant liées à des VPN SSL compromis.
Dans la plupart des incidents sur lesquels Rapid7 a enquêté, les acteurs malveillants ont tenté de se connecter aux appliances ASA en utilisant des noms d’utilisateur courants, allant d’administrateur, invité, kali et cisco à test, imprimante, sécurité et inspecteur.
Rapid7 a également déclaré que la plupart des attaques utilisaient une infrastructure similaire, les acteurs malveillants se connectant à partir d’un appareil Windows nommé « WIN-R84DEUE96RB » et utilisant les adresses IP 176.124.201[.]200 et 162.35.92[.]242.
Après avoir violé les appareils VPN, les attaquants ont accédé à distance aux réseaux des victimes à l’aide du logiciel de bureau à distance AnyDesk et ont compromis d’autres systèmes en utilisant les informations d’identification de domaine volées après avoir vidé la base de données NTDS.DIT Active Directory.
Certaines violations ont conduit à des attaques de ransomware LockBit et Akira
« Plusieurs incidents auxquels nos équipes de services gérés ont répondu ont abouti au déploiement de ransomwares par les groupes Akira et LockBit », a déclaré Rapid7.
« Ces incidents renforcent le fait que l’utilisation d’identifiants faibles ou par défaut reste courante et que les identifiants en général ne sont souvent pas protégés en raison d’une application laxiste de l’AMF dans les réseaux d’entreprise. »
Comme l’a signalé Breachtrace , un rapport privé de SentinelOne WatchTower suggère que les opérateurs d’Akira pourraient exploiter une vulnérabilité non divulguée dans le logiciel VPN Cisco qui pourrait permettre aux attaquants de contourner l’authentification sur les systèmes dépourvus de protection par authentification multifacteur (MFA).
En analysant les données divulguées, les analystes des menaces de SentinelOne ont également découvert des preuves de l’exploitation par Akira des passerelles VPN Cisco.
Il est conseillé aux administrateurs et aux équipes de sécurité de désactiver les comptes et mots de passe par défaut pour bloquer les tentatives de force brute ciblant leurs systèmes VPN.
En outre, ils doivent s’assurer que la MFA est appliquée pour tous les utilisateurs VPN et que la journalisation est activée sur tous les VPN pour faciliter l’analyse des attaques si nécessaire.