僵尸网络利用 280 万个 IP 暴力破解 VPN 设备

一场使用近 280 万个 IP 地址的大规模暴力密码攻击正在进行中，试图猜测包括 Palo Alto Networks、Ivanti 和 SonicWall 在内的各种网络设备的凭证。

暴力破解攻击是指攻击者尝试使用多个用户名和密码反复登录帐户或设备，直到找到正确的组合。一旦他们获得正确的凭证，攻击者就可以使用它们劫持设备或访问网络。

据威胁监控平台 Shadowserver Foundation 称，暴力破解攻击自上个月以来一直在持续，每天使用近 280 万个源 IP 地址进行攻击。

其中大部分IP（110 万）来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但总体而言，受影响的国家数量非常多。

这些是边缘安全设备，如防火墙、VPN、网关和其他安全设备，通常暴露在互联网上以方便远程访问。

实施这些攻击的设备大多是过时的 MikroTik、华为、思科、Boa 和中兴路由器和物联网，这些设备通常受到大型恶意软件僵尸网络的攻击。

Shadowserver 基金会表示，该活动已经持续了一段时间，但最近规模更大。攻击 IP 地址分布在许多网络和自治系统上，很可能是僵尸网络或与住宅代理网络相关的某些操作。

住宅代理是分配给互联网服务提供商 (ISP) 的消费者客户的 IP 地址，因此在网络犯罪、抓取、绕过地理限制、广告验证、偷运/倒票等方面的用途非常广泛 。

这些代理通过住宅网络路由互联网流量，使用户看起来像是普通家庭用户，而不是机器人、数据抓取者或黑客。

此类活动所针对的网关设备可用作住宅代理操作中的代理出口节点，通过组织的企业网络路由恶意流量。

这些节点被认为是“高质量”的，因为组织享有良好的声誉，而且攻击更难被发现和阻止。

保护边缘设备免受暴力攻击的步骤包括将默认管理员密码更改为复杂唯一的密码、强制执行多因素身份验证 (MFA)、使用受信任 IP 的允许列表以及禁用不需要的 Web 管理界面。

最终，在这些设备上应用最新的固件和安全更新对于消除攻击者可以利用的漏洞获取初始访问权限至关重要。

去年 4 月，思科警告称，全球范围内存在针对思科、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 设备的大规模凭证暴力破解活动。

12 月，Citrix 还警告称，全球范围内存在针对 Citrix Netscaler 设备的密码喷洒攻击。

新闻链接：

https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-uses-28-million-ips-to-target-vpn-devices/

讲述普通人能听懂的安全故事