Cisco đang cảnh báo về sự gia tăng toàn cầu của các cuộc tấn công brute-force nhắm vào các thiết bị khác nhau, bao gồm dịch vụ Mạng riêng ảo (VPN), giao diện xác thực ứng dụng web và dịch vụ SSH, kể từ ít nhất là ngày 18/3/2024.
"Tất cả các cuộc tấn công này dường như bắt nguồn từ các nút thoát TOR và một loạt các đường hầm và proxy ẩn danh khác", Cisco Talos cho biết.
Các cuộc tấn công thành công có thể mở đường cho truy cập mạng trái phép, khóa tài khoản hoặc điều kiện từ chối dịch vụ, công ty an ninh mạng nói thêm.
Các cuộc tấn công, được cho là rộng và cơ hội, đã được quan sát nhắm vào các thiết bị dưới đây -
- Tường lửa bảo mật của Cisco VPN
- Điểm kiểm tra VPN
- Fortinet VPN
- SonicWall VPN
- Dịch vụ web RD
- Mikrotik
- Draytek
- Ubiquiti
Cisco Talos mô tả các nỗ lực vũ phu là sử dụng cả tên người dùng chung và hợp lệ cho các tổ chức cụ thể, với các cuộc tấn công bừa bãi nhắm vào một loạt các lĩnh vực trên khắp các khu vực địa lý.
Các địa chỉ IP nguồn cho lưu lượng truy cập thường được liên kết với các dịch vụ proxy. Điều này bao gồm TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy và Proxy Rack, trong số những người khác.
Danh sách đầy đủ các chỉ số liên quan đến hoạt động, chẳng hạn như địa chỉ IP và tên người dùng / mật khẩu, có thể được truy cập tại đây.
Sự phát triển này diễn ra khi chuyên gia thiết bị mạng cảnh báo về các cuộc tấn công lần dò mật khẩu nhắm vào các dịch vụ VPN truy cập từ xa như một phần của những gì họ nói là "nỗ lực trinh sát".
Nó cũng theo sau một báo cáo từ Fortinet FortiGuard Labs rằng các tác nhân đe dọa đang tiếp tục khai thác một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến các bộ định tuyến TP-Link Archer AX21 (CVE-2023-1389, điểm CVSS: 8.8) để cung cấp các họ phần mềm độc hại botnet DDoS như AGoent, Condi, Gafgyt, Mirai, Miori và MooBot.
"Như thường lệ, các botnet không ngừng nhắm mục tiêu vào các lỗ hổng IoT, liên tục cố gắng khai thác chúng", các nhà nghiên cứu bảo mật Cara Lin và Vincent Li cho biết.
"Người dùng nên cảnh giác chống lại các botnet DDoS và kịp thời áp dụng các bản vá để bảo vệ môi trường mạng của họ khỏi bị lây nhiễm, ngăn chúng trở thành bot cho các tác nhân đe dọa độc hại."