本文来自微信公众号“嘶吼专业版”,【作者】胡金鱼。
暴力破解攻击是指威胁者尝试使用大量用户名和密码反复登录一个账户或设备,直到找到正确的组合。一旦他们获取到正确的凭证,就可以利用这些凭证劫持设备或访问网络。
据悉,一场动用了近280万个IP地址的大规模暴力破解密码攻击正在进行,该攻击试图验证包括Palo Alto Networks,Ivanti和Sonicwall在内的众多网络设备的登录凭证。
根据威胁监控平台Shadowserver基金会的说法,自上个月以来,一直有暴力破解攻击在进行,每天使用近280万个源IP地址来实施这些攻击。这110万人中,大多数来自巴西,其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥,但参与该活动的原籍国数量总体上非常多。
这些边缘安全设备,如防火墙、vpn、网关和其他安全设备,通常暴露在互联网上以方便远程访问。进行这些攻击的设备主要是MikroTik、Cisco
据Shadowserver基金会证实,该活动已经持续了一段时间,但最近捕捉到数量大幅增加。据了解,攻击IP地址分布在许多网络和自治系统中,可能是僵尸网络或与住宅代理网络相关的某些操作。
住宅代理是分配给互联网服务提供商(isp)的消费者的IP地址,这使得它们在网络犯罪、抓取、绕过地理限制、广告验证、倒卖球鞋或门票等方面受到高度追捧。
这些代理通过住宅网络路由互联网流量,使用户看起来像是普通的家庭用户,而不是机器人、数据抓取器或黑客。
网关设备(例如那些被此活动作为目标的设备)可以用作住宅代理操作中的代理出口节点,通过企业网络路由恶意流量。这些节点被认为是“高质量的”,因为有良好的声誉,攻击更难以检测和阻止。
保护边缘设备免受强制攻击的步骤包括将默认管理密码更改为强大且唯一的密码,实施多因素身份验证(MFA),使用受信任ip的允许列表,以及禁用不需要的web管理界面。
最后,在这些设备上应用最新的固件和安全更新对于消除漏洞至关重要,威胁者可以利用这些漏洞获得初始访问权限。
去年4月,Cisco就针对Cisco、CheckPoint、Fortinet、SonicWall和Ubiquiti等全球设备的大规模凭证强制破解活动发出了警告。12月,Citrix还警告了针对Citrix NetScaler设备的密码喷雾攻击。
参考及来源:https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-uses-28-million-ips-to-target-vpn-devices/
