![黑客利用 280 万个 IP 大规模暴力破解安全产商的 VPN 设备]( "黑客利用 280 万个 IP 大规模暴力破解安全产商的 VPN 设备")
一场使用近 280 万个 IP 地址的大规模暴力破解攻击正在进行中,试图破解包括 Palo Alto Networks、Ivanti 和 SonicWall 在内的各种网络设备的凭证。
暴力破解攻击是指攻击尝试使用多个用户名和密码反复登录帐户或设备,直到找到正确的组合。一旦他们获得正确的凭证,攻击者就可以使用它们劫持设备或访问网络。
据威胁监控平台 Shadowserver Foundation 称,暴力攻击自上个月以来一直在持续,每天使用 近 280 万个源 IP 地址进行攻击。
其中大部分(110 万)来自巴西,其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥,但总体而言,参与该活动的原籍国数量非常多。
![黑客利用 280 万个 IP 大规模暴力破解安全产商的 VPN 设备]( "黑客利用 280 万个 IP 大规模暴力破解安全产商的 VPN 设备")
这些是边缘安全设备,如防火墙、VPN、网关和其他安全设备,通常暴露在互联网上以方便远程访问。
实施这些攻击的设备大多是 MikroTik、华为、思科、Boa 和中兴路由器和物联网,这些设备通常受到大型恶意软件僵尸网络的攻击。
Shadowserver 基金会向 BleepingComputer 发表声明,证实该活动已经持续了一段时间,但最近规模更大。
ShadowServer 还表示,攻击 IP 地址分布在许多网络和自治系统上,很可能是僵尸网络或与住宅代理网络相关的某些操作。
住宅代理是分配给互联网服务提供商 (ISP) 的消费者客户的 IP 地址,因此在网络犯罪、抓取、绕过地理限制、广告验证、偷运/倒票等方面的用途非常广泛 。
这些代理通过住宅网络路由互联网流量,使用户看起来像是普通家庭用户,而不是机器人、数据抓取者或黑客。
此类活动所针对的网关设备可用作住宅代理操作中的代理出口节点,通过组织的企业网络路由恶意流量。
这些节点被认为是“高质量”的,因为组织享有良好的声誉,而且攻击更难被发现和阻止。
保护边缘设备免受暴力攻击的步骤包括将默认管理员密码更改为强大而独特的密码、强制执行多因素身份验证 (MFA)、使用受信任 IP 的允许列表以及禁用不需要的 Web 管理界面。
最终,在这些设备上应用最新的固件和安全更新对于消除威胁行为者可以利用的漏洞获取初始访问权限至关重要。
去年 4 月,思科警告称,全球范围内存在针对思科、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 设备的大规模凭证暴力破解活动。
12 月,Citrix 还警告称,全球范围内存在针对 Citrix Netscaler 设备的密码喷洒攻击。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):黑客利用 280 万个 IP 大规模暴力破解安全产商的 VPN 设备
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3748758.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论