Cisco upozorava na napade koji iskorišćavaju VPN usluge

Kompanija Cisco upozorava svoje korisnike na kontinuirani napad prskanja lozinki (eng. password spraying) na njihove poslovne VPN servise, posebno ciljajući VPN servise za daljinski pristup (eng. Remote Access VPN – RAVPN) konfigurisane na Cisco Secure Firewall uređajima. Vjeruje se da napadi potiču od ruskih prijetnji, a neki dokazi ukazuju na umiješnost APT29 grupe, poznate još pod nazivima Cozy Bear, Dark Halo, The Dukes, Midnight Blizzard, NOBELIUM i Office Monkeys.

Cisco

Cisco upozorava na napade koji iskorišćavaju VPN usluge; Source: Bing Image Creator

PRSKANJE LOZINKI I VPN

Prskanje lozinki je vrsta napada grubom silom gdje napadač pokušava višestruka korisnička imena i kombinacije lozinki protiv velikog broja naloga ili sistema kako bi dobio neovlašteni pristup. Ova vrsta napada je posebno opasna, jer može zaobići mehanizme zaključavanja korisničkog naloga, što olakšava zlonamjernim akterima da uđu u mreže i ukradu privatne informacije.

Napadi lozinkom koji ciljaju VPN servise dijele neke zajedničke karakteristike:

  • Automatizovana priroda: Ovi napadi se obično izvode korištenjem automatizovanih alata, kao što su alati za prskanje lozinki ili skripte za napad grubom silom. To ih čini efikasnijim i omogućava napadaču da testira veliki broj akreditiva u kratkom periodu,
  • Ciljano na više naloga: Napadi lozinkom na VPN usluge imaju za cilj kompromitovanje brojnih naloga unutar mreže organizacije, povećavajući potencijalni uticaj ugrožavanja korisničkih naloga,
  • Upotreba uobičajenih lozinki: Napadači često koriste opšte poznate ili lako pogodne lozinke u svojim pokušajima prskanja. To je zbog velike vjerovatnoće da će se ovi akreditivi koristiti na više računa unutar organizacije,
  • Tehnike izbjegavanja: Da bi zaobišli detekciju, napadači mogu koristiti tehnike izbjegavanja kao što je korištenje proxy servera ili rotiranje IP adresa. Oni također mogu koristiti sofisticirane alate dizajnirane da oponašaju ljudsko ponašanje i izbjegnu pokretanje mehanizama za zaključavanje računa.

 

Sa druge strane virtuelne privatne mreže (eng. Virtual Private Networks – VPN) su bitne komponente bezbjednosne infrastrukture organizacije. Omogućavaju korisnicima siguran pristup mreži i resursima svoje kompanije sa udaljenih lokacija. Međutim, sve veće oslanjanje poslovnih organizacija na VPN servise ih je također učinilo glavnom metom zlonamjernih aktera.

Uspješan VPN kompromis može da odobri pristup osjetljivim podacima i sistemima unutar mreže organizacije. Zlonamjerni akteri mogu da iskoriste kompromitovane VPN naloge za dalje bočno kretanje (eng. lateral movement) i eskalaciju privilegija unutar probijenog okruženja. Napadi mogu zaključati naloge, što dovodi do uslova sličnih DoS napadu, u zavisnosti od okruženja, ali se ova aktivnost čini vezana za izviđačke napore.

Napadi prskanja lozinki nisu novina, međutim njihov fokus na VPN servise dodaje sloj složenosti i opasnost ovoj prijetnji. Organizacije moraju razumjeti implikacije ovih napada i preduzeti proaktivne mjere da se zaštite.

 

MOTIVACIJE IZA NAPADA LOZINKOM NA VPN SERVISE

Zlonamjerni akteri ciljaju VPN servise iz nekoliko razloga, uključujući:

  • Dobijanje neovlaštenog pristupa osjetljivim informacijama: Jednom kada zlonamjerni akter uđe u mrežu preko kompromitovanog VPN naloga, može potencijalno pristupiti i ukrasti vrijedne podatke. To može uključivati finansijsku evidenciju, intelektualnu svojinu ili povjerljive poslovne informacije,
  • Pokretanje daljih napada: Uspješan napad lozinkom na VPN uslugu pruža napadaču početno uporište u mreži. Oni to onda mogu iskoristiti kao odskočnu dasku za pokretanje sofisticiranijih i štetnijih napada, kao što su ransomware ili eksfiltracija podataka,
  • Izviđanja: Zlonamjerni akteri mogu koristiti napade prskanjem lozinki na VPN usluge kako bi prikupili obavještajne podatke o mrežnoj infrastrukturi organizacije. Ove informacije se mogu koristiti za buduće ciljane napade ili prodati drugim zlonamjernim akterima na mračnom internetu.

 

CISCO I BRUTUS BOTNET

Brutus botnet je nedokumentovani botnet koji je primijećen kako cilja Cisco VPN servise i druge SSLVPN uređaje različitih proizvođača, uključujući Fortinet, Palo Alto i SonicWall. Napadi uključuju prskanje lozinki, pri čemu zlonamjerni akter pokušava istu lozinku na više naloga dok jedna kombinacija ne uspije. Botnet se trenutno oslanja na oko 20.000 IP adresa širom sveta. Vezu sa Brutus botnet mrežom inficiranih uređaja je uspostavio sigurnosni istraživač Aaron Martin na osnovu obima ciljanja i obrazaca napada koje je primijetio i prati od 15. marta 2023. godine.

 

ZAKLJUČAK

Sve veći broj napada lozinkom koji ciljaju na servise virtuelne privatne mreže (VPN) razlog je za zabrinutost među stručnjacima za sajber bezbjednost. Ovi napadi mogu potencijalno kompromitovati cijelu mrežu, što može dovesti do značajne štete i finansijskih gubitaka. Organizacije moraju poduzeti proaktivne mjere kako bi se zaštitile od ovih prijetnji primjenom jakih politika autentifikacije, praćenjem sumnjivih aktivnosti, implementacijom sistema za sprečavanje upada, ažuriranjem softvera i edukacijom korisnika o najboljim sigurnosnim praksama.

Ostajući infromisan o najnovijim trendovima sajber bezbjednosti i uzimajući višestruki pristup osiguravaju svojih mreža, organizacije mogu značajno smanjiti rizik da postanu žrtve napada lozinkom koji ciljaju VPN servise. U okruženju prijetnji koje se stalno razvija, ključno je da poslovne organizacije ostanu budne i prilagodljive kako bi ostale ispred napadača i zaštitile svoju vrijednu digitalnu imovinu.

 

ZAŠTITA

Poslovne organizacije i korisnici moraju imati višestruki pristup kako bi se zaštitile od napada lozinkom koji ciljaju njihove VPN servise:

  • Implementirajte jake politike provjere autentifikacije: Nametanje jakih i jedinstvenih lozinki, kao i implementacija autentifikacije u dva koraka ili autentifikacije u više koraka, može značajno smanjiti rizik od uspješnih napada prskanja lozinki,
  • Nadgledanje sumnjivih aktivnosti: Redovno praćenje mrežnih dnevnika i ponašanja korisnika može pomoći organizacijama da otkriju i reaguju na potencijalne napade prskanjem lozinki u realnom vremenu. Ovo uključuje praćenje neuspjelih pokušaja prijave, neobične IP adrese i druge pokazatelje kompromisa,
  • Uvođenje sistema za prevenciju upada (eng. intrusion prevention systems IPS): Ova rješenja mogu pomoći u sprečavanju napada prskanja lozinki analizirajući mrežni saobraćaj otkrivajući sumnjive obrasce i blokirajući zlonamjernu aktivnost prije nego što stigne do ciljnog sistema,
  •  Održavati softver ažurnim: Osiguravanje da se sav VPN softver, kao i druge relevantne aplikacije, ažuriraju najnovijim sigurnosnim ispravkama može pomoći u zaštiti od poznatih ranjivosti koje se iskorištavaju napadima prskanjem lozinkom,
  • Implementacija kontrole pristupa i segmentacije: Ograničavanje pristupa osjetljivim resursima na osnovu korisničkih uloga i implementacija segmentacije mreže može smanjiti potencijalni utjecaj uspješnog napada prskanjem lozinki,
  • Edukacija korisnika o najboljim bezbjednosnim praksama: Pružanje redovne obuke i programa podizanja svesti za zaposlene može im pomoći da shvate važnost jakih lozinki, autentifikacije u dva koraka i drugih bezbjednosnih mjera za sprečavanje napada lozinkom na VPN servise.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.