L’équipe de sécurité Talos de Cisco met en garde contre une campagne de compromission d’informations d’identification à grande échelle qui attaque sans discernement les réseaux avec des tentatives de connexion visant à obtenir un accès non autorisé aux comptes VPN, SSH et d’applications Web.
Les tentatives de connexion utilisent à la fois des noms d’utilisateur génériques et des noms d’utilisateur valides destinés à des organisations spécifiques. Cisco a inclus une liste de plus de 2 000 noms d’utilisateur et près de 100 mots de passe utilisés dans les attaques, ainsi que près de 4 000 adresses IP envoyant le trafic de connexion. Les adresses IP semblent provenir de nœuds de sortie TOR et d’autres tunnels et proxys anonymisés. Les attaques semblent être aveugles et opportunistes plutôt que viser une région ou une industrie particulière.
« En fonction de l’environnement cible, des attaques réussies de ce type peuvent conduire à un accès non autorisé au réseau, à des verrouillages de compte ou à des conditions de déni de service », ont écrit mardi les chercheurs de Talos. « Le trafic lié à ces attaques a augmenté avec le temps et devrait continuer à augmenter. »
Les attaques ont commencé au plus tard le 18 mars.
L’avis de mardi intervient trois semaines après que Cisco a mis en garde contre une campagne d’attaque similaire. Cisco a décrit celui-ci comme un spray de mot de passe destiné aux VPN d’accès à distance de Cisco et de fournisseurs tiers connectés aux pare-feu Cisco. Cette campagne semble être liée à des efforts de reconnaissance, a indiqué la société.
Les attaques comprenaient des centaines de milliers, voire des millions de tentatives d’authentification rejetées. Cisco a ajouté que les utilisateurs peuvent recevoir par intermittence un message d’erreur indiquant : « Impossible d’établir la connexion. Cisco Secure Desktop n’est pas installé sur le client. Les tentatives de connexion entraînant l’erreur ne parviennent pas à terminer le processus de connexion VPN. Le rapport a également signalé des « symptômes d’échecs d’allocation de jetons Hostscan ».
Un représentant de Cisco a déclaré que les chercheurs de l’entreprise ne disposaient actuellement d’aucune preuve permettant de lier de manière concluante l’activité dans les deux cas au même acteur malveillant, mais qu’il existe des chevauchements techniques dans la manière dont les attaques ont été menées, ainsi que dans l’infrastructure utilisée.
Talos a déclaré mardi que les services ciblés par la campagne incluent, sans s’y limiter :
- VPN de pare-feu sécurisé Cisco
- VPN de point de contrôle
- VPN Fortinet
- VPN SonicWall
- Services Web de recherche en développement
- Mikrotik
- Draytek
- Ubiquiti.
Les adresses IP d’anonymisation semblaient appartenir à des services, notamment :
- TOR
- Porte VPN
- Proxy IPIDEA
- Proxy BigMama
- Proxy spatiaux
- Proxy Nexus
- Support proxy.
Cisco a déjà ajouté la liste d’adresses IP mentionnée précédemment à une liste de blocage pour ses offres VPN. Les organisations peuvent ajouter les adresses aux listes de blocage de tous les VPN tiers qu’elles utilisent. Une liste complète des indications de compromis est ici.
Cisco a également fourni une liste de recommandations pour empêcher les attaques de réussir. Les orientations comprennent :
- Activation d’une journalisation détaillée, idéalement sur un serveur Syslog distant afin que les administrateurs puissent reconnaître et corréler les attaques sur différents points de terminaison du réseau.
- Sécuriser les comptes d’accès à distance par défaut en les enfermant à moins qu’ils n’utilisent les profils DefaultRAGroup et DefaultWEBVPNGroup
- Blocage des tentatives de connexion provenant de sources malveillantes connues
- Implémentez des listes de contrôle d’accès au niveau de l’interface et du plan de contrôle pour filtrer les adresses IP publiques non autorisées et les empêcher d’initier des sessions VPN à distance.
- Utilisez la commande éviter.
De plus, les VPN d’accès à distance doivent utiliser une authentification basée sur un certificat. Cisco répertorie ici d’autres étapes pour renforcer les VPN.