El gigante de las redes Cisco ha advertido a sus usuarios sobre un ataque en curso contra su VPN empresarial servicios.
En un aviso de seguridad, Cisco dijo que había sido notificado de un problema en curso contraseña-Ataque de pulverización contra diferentes concentradores VPN de terceros.
En este caso, fueron los servicios VPN de acceso remoto (RAVPN) configurados en Cisco Secure Firewall los que se vieron afectados.
Atacantes rusos
«Dependiendo de su entorno, los ataques pueden hacer que las cuentas se bloqueen, lo que resulta en condiciones similares a las de denegación de servicio (DoS)», explicó Cisco, afirmando que la actividad parece ser un esfuerzo de reconocimiento. Los actores de la amenaza no fueron nombrados.
La pulverización de contraseñas es un tipo de ataque en el que el actor de la amenaza intenta utilizar la misma contraseña con varias cuentas, hasta que una combinación funciona.
Al enumerar su conjunto de defensas y mitigaciones, Cisco recomendó habilitar el inicio de sesión en un servidor syslog remoto para mejorar la correlación y auditoría de los incidentes de red y de seguridad en varios dispositivos de red; asegurar los perfiles VPN de acceso remoto predeterminados apuntando los perfiles de conexión predeterminados no utilizados a servidores AAA sumidero; aprovechar TCP shun para bloquear manualmente direcciones IP peligrosas, configurar ACL de lugar de control para bloquear direcciones IP públicas no autorizadas para que no ejecuten sesiones VPN; y el uso de autenticación basada en certificados para RAVPN.
El investigador de seguridad Aaron Martin afirma que el ataque probablemente fue obra de una botnet de malware indocumentada llamada Brutus.
Se dijo que hizo la conexión después de observar el alcance del malware y los patrones de ataque. En su análisis de la botnet, Martin dijo que cuenta con unas 20.000 direcciones IP en todo el mundo. Al principio, los ataques se dirigieron a dispositivos SSLVPN de Fortinet, Palo Alto, SonicWall y Cisco, pero desde entonces han evolucionado para incluir también aplicaciones web que utilizan Active Directory para la autenticación.
Para evitar levantar banderas, Brutus rota sus IP cada seis intentos.
Aunque no son concluyentes, algunas pruebas apuntan a que Brutus es obra de APT29, un infame actor de amenazas patrocinado por el estado ruso.
A través de pitidocomputadora