ハッカーは、多要素認証(MFA)を強制しないなどのセキュリティ防御の欠陥を利用したクレデンシャル スタッフィングやブルート フォース攻撃で、Cisco 適応型セキュリティ アプライアンス(ASA)SSL VPN をターゲットにしています。
先週、Akira ランサムウェア集団が最初のネットワーク アクセスのためにCisco VPN に侵入していたと報告されました。
Rapid7のセキュリティ研究者らは、火曜日に発表されたレポートでこれらのインシデントに関する追加の洞察を提供し、攻撃者が今年3月以来、ターゲットのログイン資格情報を推測することを目的としたブルートフォース攻撃でこれらのデバイスに攻撃を向けていることを明らかにした。
また、これらの攻撃の背後にいる攻撃者が適切に設定された MFA を回避して Cisco VPN に侵入した事例はまだ検出されていないとも述べました。
これは、自動ツールを使用して Cisco VPN をターゲットにしたブルート フォース攻撃やパスワード スプレー攻撃に関する攻撃者に関するレポートの 2 日後に発行された Cisco の Product Security Incident Response Team (PSIRT) からの勧告を裏付けるものです。
「報告された攻撃シナリオでは、影響を受ける Cisco の ASA にロギングが設定されていませんでした。このため、Akira ランサムウェア攻撃者がどのようにして VPN にアクセスできたのかを正確に特定することが困難になっています」と Cisco PSIRT プリンシパル エンジニアの Omar Santos 氏は述べています。
「脅威アクターがブルート フォース攻撃などによってユーザーの VPN 資格情報への不正アクセスに成功した場合、MFA は追加の保護層を提供して、脅威アクターが VPN にアクセスできないようにします。」
Rapid7 はまた、3 月 30 日から 8 月 24 日までに少なくとも 11 人の顧客が Cisco ASA 関連の攻撃で侵害され、その侵害は SSL VPN の侵害に関連していたことも明らかにしました。
Rapid7 が調査したほとんどのインシデントでは、悪意のある攻撃者は、admin、guest、kali、cisco から test、printer、security、inspector までの一般的なユーザ名を使用して ASA アプライアンスにログインしようとしました。
Rapid7はまた、攻撃のほとんどが同様のインフラストラクチャを利用しており、攻撃者は「WIN-R84DEUE96RB」という名前のWindowsデバイスから接続し、IPアドレス176.124.201[.]200と162.35.92[.]242を使用していたと述べた。
VPN アプライアンスに侵入した後、攻撃者は AnyDesk リモート デスクトップ ソフトウェアを使用して被害者のネットワークにリモート アクセスし、NTDS.DIT Active Directory データベースをダンプした後に盗んだドメイン資格情報を使用して他のシステムを侵害しました。
一部の侵害が LockBit および Akira ランサムウェア攻撃につながった
「当社のマネージドサービスチームが対応したいくつかのインシデントは、AkiraグループとLockBitグループによるランサムウェアの展開で終わった」とRapid7は述べた。
「これらのインシデントは、脆弱な資格情報またはデフォルトの資格情報の使用が依然として一般的であり、企業ネットワークにおける MFA の適用が緩い結果として資格情報が一般的に保護されていないことが多いことを裏付けています。」
報告されているように、SentinelOne WatchTower の非公開レポートは、Akira オペレーターが Cisco VPN ソフトウェア内の未公開の脆弱性を悪用している可能性があることを示唆しています。この脆弱性により、攻撃者は多要素認証 (MFA) 保護のないシステム上で認証をバイパスできる可能性があります。
SentinelOne の脅威アナリストは、漏洩データの分析中に、アキラによる Cisco VPN ゲートウェイの悪用の証拠も発見しました。
管理者とセキュリティ チームは、VPN システムをターゲットとしたブルート フォースの試みをブロックするために、デフォルトのアカウントとパスワードを無効にすることをお勧めします。
さらに、必要に応じて攻撃分析に役立つように、MFA がすべての VPN ユーザーに適用され、すべての VPN でログ記録が有効になっていることを確認する必要があります。
Comments