Cisco advierte de ataques de fuerza bruta a dispositivos VPN y SSH
Cisco Talos ha alertado sobre un aumento global de ataques de fuerza bruta, que apuntan a dispositivos como servicios de Red Privada Virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH. Según la empresa de ciberseguridad, estos ataques parecen originarse desde nodos de salida TOR y otros túneles y proxies de anonimización. Un ataque exitoso podría permitir el acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio.
Entre los dispositivos que están siendo atacados destacan el Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, servicios Web de RD, Mikrotik, Draytek y Ubiquiti. Los intentos de fuerza bruta utilizan tanto nombres de usuario genéricos como válidos para organizaciones específicas, y afectan a diversos sectores en todo el mundo.
Los ataques se dirigen indiscriminadamente a una amplia gama de sectores en todo el mundo y las direcciones IP fuente para el tráfico están comúnmente asociadas con servicios de proxy, incluyendo TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy y Proxy Rack, entre otros. Una lista completa de indicadores como direcciones IP y nombres de usuario/contraseñas se pueden encontrar aquí.
Mientras tanto, Cisco también ha alertado de ataques de pulverización de contraseñas dirigidos a los servicios de VPN de acceso remoto, que forman parte de los llamados «esfuerzos de reconocimiento».
El informe de Fortinet FortiGuard Labs, por su parte, destaca que los actores de la amenaza están explotando una vulnerabilidad de seguridad ya parchada que afecta a los routers TP-Link Archer AX21 para entregar familias de malware de botnet DDoS como AGoent, Condi, Gafgyt, Mirai, Miori y MooBot. Los usuarios deben estar atentos a los botnets de DDoS y aplicar rápidamente los parches para proteger sus entornos de red.
Vía The Hacker News
