一般的に使用されるログイン情報を使った大規模ブルートフォース攻撃が増加、VPN や SSH サービスが標的に
攻撃の特定につながる研究を行ったのは、Cisco Talos の Brandon White、Duo Security 研究チームの Phillip Schafer、Mike Moran、Becca Lynch です。
Cisco Talos は、世界的に急増しているブルートフォース攻撃(総当たり攻撃)を積極的に監視しています。攻撃は遅くとも 2024 年 3 月 18 日から続いており、仮想プライベートネットワーク(VPN)サービス、Web アプリケーション認証インターフェイス、SSH サービスなどが狙われています。
これらの攻撃はすべて、TOR 出口ノードや、その他さまざまな匿名化トンネル、プロキシから発信されていると考えられます。
ブルートフォース攻撃が成功すると、標的の環境によっては、ネットワークに不正にアクセスされたり、アカウントがロックアウトされたり、サービス拒否の状態に陥る可能性があります。攻撃に関連するトラフィックは時間が経つごとに増えており、今後も増加する見込みです。影響を受けることがわかっているサービスを以下に示しますが、他のサービスも攻撃の影響を受ける可能性があります。
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
このブルートフォース攻撃では、一般的なユーザー名と特定の組織の有効なユーザー名が使用されます。攻撃の標的は無差別であり、特定の地域や業界を狙ったものではないようです。トラフィックの送信元の IP アドレスは、通常、次のようなプロキシサービスに関連付けられますが、これらに限定されません。
- TOR
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
上記に挙げたものがすべてではなく、他のサービスが攻撃に利用される可能性があります。
トラフィックが大幅に増加し、大量に発生しているので、シスコは既知の関連 IP アドレスをブロックリストに追加しました。このトラフィックの送信元の IP アドレスは変わる可能性があることに注意してください。
ガイダンス
さまざまな VPN サービスが狙われているため、緩和策は影響を受けるサービスによって異なります。シスコのリモートアクセス VPN サービスについては、シスコサポートの最近のブログにガイダンスと推奨事項が記載されています。
リモートアクセス VPN サービスに影響を与えるパスワードスプレー攻撃に対する推奨事項
IOC
警戒を促すために、攻撃に使用されたユーザー名とパスワードを IOC に含めています。こちら
の GitHub リポジトリで、攻撃に関連する IP アドレスとログイン情報をご確認いただけます。
本稿は 2024 年 04 月 16 日にTalos Group
Tags:
