Cisco, Cisco Secure Firewall cihazlarında yapılandırılmış Uzaktan Erişim VPN (RAVPN) hizmetlerini hedef alan şifre sızdırma saldırılarını azaltmak için bir dizi öneri paylaştı. Şirket, saldırıların diğer uzaktan erişim VPN hizmetlerini de hedef aldığını ve keşif faaliyetinin bir parçası gibi göründüğünü söylüyor. Bir parola püskürtme saldırısı sırasında, saldırgan oturum açmak için aynı parolayı birden fazla hesapla dener.
Cisco’nun hafifletme kılavuzu, saldırıların tespit edilmesine ve engellenmesine yardımcı olmak için bu etkinlik için uzlaşma göstergelerini (IoC’ler) listeler. Buna, Güvenlik Duvarı (HostScan) etkinleştirildiğinde Cisco Secure Client (AnyConnect) ile VPN bağlantıları kurulamaması da dahildir. Cisco’nun bu saldırılara karşı savunma önerileri şunlar:
- Olay analizini ve korelasyonu iyileştirmek için uzak bir syslog sunucusuna günlük kaydını etkinleştirmek.
- Yetkisiz erişimi önlemek için kullanılmayan varsayılan bağlantı profillerini bir sinkhole AAA sunucusuna yönlendirerek varsayılan uzaktan erişim VPN profillerinin güvenliğini sağlamak.
- Kötü niyetli IP’leri manuel olarak engellemek için TCP shun’dan yararlanmak. VPN oturumlarını başlatan yetkisiz genel IP adreslerini filtrelemek için kontrol düzlemi ACL’lerini yapılandırmak.
- RAVPN için geleneksel kimlik bilgilerinden daha güvenli bir kimlik doğrulama yöntemi sağlayan sertifika tabanlı kimlik doğrulama kullanma.
Güvenlik araştırmacısı Aaron Martin ise Cisco tarafından gözlemlenen faaliyetin büyük olasılıkla ‘Brutus’ adını verdiği belgelenmemiş bir kötü amaçlı yazılım botnetinden kaynaklandığını söyledi. Martin, Brutus botnet’i hakkında, kendisinin ve analist Chris Grube’nin 15 Mart’tan bu yana gözlemlediği olağandışı saldırı yöntemlerini açıklayan bir rapor yayınladı. Raporda, botnetin şu anda dünya çapında 20.000 IP adresine dayandığı ve bulut hizmetlerinden konut IP’lerine kadar çeşitli altyapıları kapsadığı belirtiliyor.
Martin’in gözlemlediği saldırılar başlangıçta Fortinet, Palo Alto, SonicWall ve Cisco’nun SSLVPN cihazlarını hedef alıyordu, ancak şimdi kimlik doğrulama için Active Directory kullanan web uygulamalarını da içerecek şekilde genişledi. Brutus, tespit ve engellemeden kaçınmak için IP’lerini her altı denemede bir değiştirirken, kamuya açık veri dökümlerinde bulunmayan, açıklanmayan çok özel kullanıcı adları kullanıyor.
Saldırıların bu yönü, bu kullanıcı adlarının nasıl elde edildiğine dair endişeleri artırıyor ve açıklanmamış bir ihlali ya da sıfırıncı gün güvenlik açığından yararlanıldığını gösteriyor olabilir. Brutus’un operatörleri bilinmese de Martin, Rus Dış İstihbarat Servisi (SVR) için çalıştığına inanılan bir casusluk tehdit grubu olan APT29’un (Midnight Blizzard, NOBELIUM, Cozy Bear) geçmiş faaliyetleriyle ilişkilendirilen iki IP tespit etti