Un atac brute-force de amploare ce utilizează aproape 2.8 milioane de adrese IP vizează dispozitive de rețea de la Palo Alto Networks, Ivanti, și SonicWall cu funcții de firewall, VPN, și de securitate.
În general, hackerii automatizează atacurile brute-force pentru a încerca diferite variante de credențiale până când găsesc una validă. Acestea sunt adesea susținute de rețele de dispozitive compromise, cunoscute sub numele de botnet, care pot amplifica semnificativ volumul și viteza încercărilor.
Scopul principal rămâne necunoscut, dar accesul neautorizat la aceste dispozitive poate fi folosit pentru a pivota în rețea, fie pentru a fura informații sensibile, fie pentru a instala software malițios.
Zeci de mii de dispozitive folosite în atac
Recent, The Shadowserver Foundation, o organizație non-profit de monitorizare a amenințărilor, a raportat că atacul masiv se desfășoară de luna trecută dar a crescut în agresivitate ajungând să folosească aproape 2.8 milioane de IP-uri zilnic în încercarea de a forța obținerea credențialelor pentru dispozitivele vizate.
Cele mai multe adrese de origine a atacului, 1.1 milioane, sunt localizate în Brazilia, restul participării semnificative venind de pe dispozitive din Turcia, Rusia, Argentina, Maroc și Mexic.
Diversitatea sistemelor folosite sugerează că atacul se face cu un botnet masiv sau o rețea proxy rezidențială ce folosește IP-uri de consumatori obișnuiți pentru ca traficul să pară legitim.
Din datele Shadowserver Foundation, dispozitivele cele mai folosite în atac sunt MikroTik, Huawei, și Cisco.
Conform informațiilor organizației, atacul se desfășoară cu peste 200 de tipuri de dispozitive care țintesc produse pozitionate la intrarea în rețea (edge devices) cu rol de protejare împotriva atacurilor externe.
Prin aflarea credențialelor de acces, atacatorii pot folosi dispozitivele pentru a obține acces neautorizat la rețea ce poate duce la furt de date, plantarea și execuția de malware, sau perturbarea serviciilor.
Administratorii de rețea pot proteja dispozitivele prin utilizarea de parole sigure, implementarea tehnologiei multi-factor authentication (MFA), activarea de liste de acces doar pentru IP-uri de încredere, dezactivarea accesului la distanță a interfețelor web (dacă nu este neapărat necesar), și instalarea ultimelor actualizari de la producător.
