A Cisco está alertando sobre um aumento international de ataques de força bruta direcionados a vários dispositivos, incluindo serviços de rede privada digital (VPN), interfaces de autenticação de aplicativos da internet e serviços SSH, desde pelo menos 18 de março de 2024.
“Todos esses ataques parecem ser originados de nós de saída TOR e de uma série de outros túneis e proxies anonimizados”, disse Cisco Talos.
Ataques bem-sucedidos podem abrir caminho para acesso não autorizado à rede, bloqueios de contas ou condições de negação de serviço, acrescentou a empresa de segurança cibernética.
Os ataques, considerados amplos e oportunistas, foram observados visando os dispositivos abaixo –
- VPN de firewall seguro Cisco
- VPN de ponto de verificação
- VPN Fortinet
- VPN Sonic Wall
- Serviços Internet de RD
- Mikrotik
- Draytek
- Onipresente
Cisco Talos descreveu as tentativas de força bruta como usando nomes de usuário genéricos e válidos para organizações específicas, com os ataques visando indiscriminadamente uma ampla gama de setores em regiões geográficas.
Os endereços IP de origem do tráfego são normalmente associados a serviços de proxy. Isso inclui TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Area Proxies, Nexus Proxy e Proxy Rack, entre outros.
A lista completa de indicadores associados à atividade, como os endereços IP e os nomes de usuário/senhas, pode ser acessada aqui.
O desenvolvimento ocorre no momento em que a principal empresa de equipamentos de rede alerta sobre ataques de pulverização de senhas direcionados a serviços VPN de acesso remoto como parte do que disse serem “esforços de reconhecimento”.
Também segue um relatório do Fortinet FortiGuard Labs de que os agentes de ameaças continuam a explorar uma falha de segurança agora corrigida que afeta os roteadores TP-Hyperlink Archer AX21 (CVE-2023-1389, pontuação CVSS: 8,8) para entregar famílias de malware de botnet DDoS como AGoent, Condi, Gafgyt, Mirai, Miori e MooBot.
“Como sempre, as botnets visam incansavelmente as vulnerabilidades da IoT, tentando continuamente explorá-las”, disseram os pesquisadores de segurança Cara Lin e Vincent Li.
“Os usuários devem estar vigilantes contra botnets DDoS e aplicar patches imediatamente para proteger seus ambientes de rede contra infecções, evitando que se tornem bots para agentes de ameaças mal-intencionados”.