パロアルトネットワークス、Ivanti、SonicWall などの幅広いネットワーキングデバイスの認証情報を推測しようとする、およそ 280 万の IP アドレスを使用した大規模な総当たりパスワード攻撃が進行中です。
ブルートフォース攻撃とは、脅威行為者が正しい組み合わせが見つかるまで、多くのユーザー名とパスワードを使用してアカウントまたはデバイスに繰り返しログインしようとすることです。いったん正しい認証情報にアクセスできれば、脅威者はそれを使ってデバイスを乗っ取ったり、ネットワークにアクセスしたりすることができる。
脅威監視プラットフォームThe Shadowserver Foundationによると、ブルートフォース攻撃は先月から続いており、これらの攻撃を実行するために毎日約280万個のソースIPアドレスが使用されている。
その大部分(110万個)はブラジルからで、トルコ、ロシア、アルゼンチン、モロッコ、メキシコがこれに続くが、一般的に非常に多くの発生国がこの活動に参加している。
これらは、ファイアウォール、VPN、ゲートウェイ、その他のセキュリティ・アプライアンスなどのエッジ・セキュリティ・デバイスで、リモート・アクセスを容易にするためにインターネットに公開されていることが多い。
これらの攻撃を行っているデバイスは、主にMikroTik、Huawei、Cisco、Boa、ZTEのルーターやIoTであり、大規模なマルウェアのボットネットによって一般的に侵害されている。
The Shadowserver Foundationは、声明の中で、この活動はしばらくの間継続していたが、最近になってかなり大規模になったことを確認した。
ShadowServerはまた、攻撃しているIPアドレスは多くのネットワークと自律システムにまたがっており、ボットネットまたは住宅用プロキシネットワークに関連する何らかの操作である可能性が高いと述べた。
レジデンシャル・プロキシとは、インターネット・サービス・プロバイダー(ISP)の消費者顧客に割り当てられたIPアドレスのことで、 サイバー犯罪、スクレイピング、地域制限の回避、広告検証、スニーカー/チケット・スキャルピングなどに使用されるため、非常に人気が高い。
これらのプロキシは、インターネットトラフィックを家庭用ネットワーク経由でルーティングし、ユーザーがボットやデータスクレーパー、ハッカーではなく、一般家庭のユーザーであるかのように見せかける。
この活動の標的とされているようなゲートウェイデバイスは、家庭内プロキシ運用のプロキシ出口ノードとして使用され、悪意のあるトラフィックを組織の企業ネットワーク経由でルーティングする可能性がある。
このようなノードは、組織の評判が良いため「高品質」とみなされ、攻撃の検出や阻止が難しくなります。
ブルートフォース攻撃からエッジデバイスを守るためのステップとしては、デフォルトの管理者パスワードを強固でユニークなものに変更すること、多要素認証(MFA)を実施すること、信頼できるIPの許可リストを使用すること、ウェブ管理インターフェイスが不要な場合は無効にすることなどが挙げられる。
最終的には、これらのデバイスに最新のファームウェアとセキュリティ・アップデートを適用することが、脅威者が最初のアクセスを得るために活用できる脆弱性を排除する上で極めて重要である。
昨年4月、Ciscoは、世界中のCisco、CheckPoint、Fortinet、SonicWall、Ubiquitiのデバイスを標的とした大規模な認証情報強要キャンペーンについて警告した。
12月には、Citrixも、世界中のCitrix Netscalerデバイスを標的としたパスワード・スプレー攻撃について警告している。
Comments