Last Updated on 2024-10-24 07:22 by admin
Ciscoは、VPNサービス、SSHサービス、Webアプリケーション認証インターフェースを対象としたブルートフォース攻撃の大幅な増加について警告した。これらの攻撃は、一般的で有効なユーザー名を使用して被害者の環境への初期アクセスを試みるもので、業界や地理的な制限なく、ランダムかつ無差別に対象を選んでいる。攻撃は、Cisco Secure Firewall VPNデバイスを使用する組織や、Checkpoint VPN、Fortinet VPN、SonicWall VPN、Mikrotik、Draytekなど、複数のベンダーの技術に影響を与えている。
Ciscoは、攻撃の増加が3月28日頃に始まったとし、今後数日間で攻撃量がさらに増加する可能性があると警告している。攻撃トラフィックのソースIPアドレスは、Tor、Nexus Proxy、Space Proxies、BigMama Proxyなどのプロキシサービスに関連していると特定されている。
近年、VPNやその他の技術がリモートアクセス要件をサポートするために企業によって導入されたことから、これらの製品の脆弱性を狙って、攻撃者、特に国家支援のアクターが企業ネットワークへの侵入を試みている。Securinの研究によると、VPN製品における脆弱性の数は2020年から2024年の間に875%増加し、8つの異なるベンダーの製品における147の欠陥が、78製品における約1,800の欠陥に増加した。
Ciscoは、Ciscoの製品および複数の他のベンダーの製品を対象としたリモートアクセスVPNサービスに対するパスワードスプレー攻撃に関する複数の報告を受けて、最新のアドバイザリを発表した。パスワードスプレー攻撃では、攻撃者がデフォルトや一般的なパスワードを使用して、複数のアカウントに対してブルートフォースアクセスを試みる。この活動は偵察努力に関連していると見られている。Ciscoは、パスワードスプレー攻撃に対する組織の対策として、デバイス上でのログの有効化、デフォルトのリモートアクセスVPNプロファイルの保護、アクセス制御リストなどのメカニズムを通じて悪意のあるソースからの接続試行のブロックを推奨している。
【ニュース解説】
Ciscoが最近、VPNサービス、SSHサービス、Webアプリケーション認証インターフェースを対象としたブルートフォース攻撃、特に「パスワードスプレー攻撃」の大幅な増加について警告を発しました。この攻撃手法では、攻撃者が一般的で有効なユーザー名を使用して、ランダムかつ無差別に様々な組織のシステムへのアクセスを試みます。対象となるのは、Cisco Secure Firewall VPNデバイスをはじめ、Checkpoint VPN、Fortinet VPN、SonicWall VPN、Mikrotik、Draytekなど、複数のベンダーの技術を使用する組織です。
この攻撃の増加は3月28日頃から始まったとされ、攻撃トラフィックのソースとしては、TorやNexus Proxy、Space Proxies、BigMama Proxyなどのプロキシサービスが関連していることが特定されています。このような攻撃は、業界や地理的な制限なく、広範囲にわたる組織を対象にしています。
この問題の背景には、リモートアクセス要件をサポートするために企業が近年導入したVPNやその他の技術への関心の高まりがあります。特に国家支援のアクターを含む攻撃者は、これらの製品の脆弱性を狙って企業ネットワークへの侵入を試みています。Securinの研究によると、VPN製品における脆弱性の数は2020年から2024年の間に875%増加し、これらの脆弱性の一部は攻撃者によって武器化されています。
パスワードスプレー攻撃は、ソフトウェアやハードウェアの脆弱性を直接狙うのではなく、弱いパスワード管理の慣行を利用する点で特徴的です。このため、組織は強力なパスワードの実装や、パスワードレスメカニズムの導入によってアクセスを保護することが推奨されます。
この攻撃の増加は、企業がセキュリティ対策を再評価し、特にリモートアクセス環境の保護を強化する必要があることを示しています。また、攻撃の検出と対応のために、デバイスのログ機能の有効化や、不正アクセス試行をブロックするためのアクセス制御リストの使用など、具体的な対策が推奨されています。このような攻撃の増加は、サイバーセキュリティの継続的な進化と、組織が適応し続ける必要がある脅威の変化を浮き彫りにしています。
from Cisco Warns of Massive Surge in Password-Spraying Attacks on VPNs.
