.png)
Tấn công password spray vào RAVPN
RAVPN thường áp dụng cho các nhân viên và người dùng làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. RAVPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server. VPN hoạt động nhờ vào sự kết hợp các giao thức đóng gói PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.
Cisco nhận định các cuộc tấn công cũng nhắm vào các dịch vụ RAVPN là một phần của chuỗi hoạt động trinh sát mạng mục tiêu. Trong cuộc tấn công password spray, tin tặc thử cùng một mật khẩu với nhiều tài khoản để cố gắng đăng nhập.
Hướng dẫn của Cisco liệt kê các chỉ báo về sự xâm phạm (IoC) cho hoạt động này nhằm giúp phát hiện các cuộc tấn công và ngăn chặn chúng. Điều này bao gồm việc không thể thiết lập kết nối VPN với Cisco Secure Client (AnyConnect) khi bật tính năng Firewall Posture (HostScan).Một dấu hiệu khác là số lượng yêu cầu xác thực bất thường được ghi lại bởi nhật ký hệ thống.
Dưới đây là các khuyến nghị của Cisco để chống lại các cuộc tấn công password spray, bao gồm:
- Cho phép ghi nhật ký vào máy chủ nhật ký hệ thống từ xa để cải thiện khả năng phân tích sự cố.
- Bảo vệ cấu hình RAVPN bằng cách trỏ các cấu hình kết nối mặc định không được sử dụng đến máy chủ AAA sinkhole để ngăn chặn truy cập trái phép.
- Tận dụng TCP shun để chặn IP độc hại theo cách thủ công.
- Cấu hình ACL control-plane để lọc các địa chỉ IP công cộng trái phép khỏi việc bắt đầu các phiên VPN.
- Sử dụng xác thực dựa trên chứng chỉ cho RAVPN, cung cấp phương thức xác thực an toàn hơn so với thông tin xác thực truyền thống.
Liên kết tới mạng botnet Brutus
Nhà nghiên cứu bảo mật Aaron Martin cho rằng hoạt động mà Cisco quan sát được có thể là từ một mạng botnet có tên là Brutus. Kết nối này dựa trên phạm vi nhắm mục tiêu cụ thể và kiểu tấn công của chúng.
Martin đã công bố một báo cáo về botnet Brutus mô tả các phương thức tấn công bất thường mà ông và nhà phân tích Chris Grube đã quan sát được kể từ ngày 15/3/2024. Báo cáo lưu ý rằng botnet này với trên 20.000 địa chỉ IP trên toàn thế giới, trải rộng trên nhiều cơ sở hạ tầng khác nhau từ dịch vụ đám mây đến IP Residential.
Các cuộc tấn công mà Martin phát hiện ban đầu nhắm vào các thiết bị SSLVPN từ Fortinet, Palo Alto, SonicWall và Cisco, nhưng hiện đã mở rộng sang cả các ứng dụng web sử dụng Active Directory để xác thực.
Mặc dù chưa rõ thông tin các nhà phát triển của Brutus, Martin đã xác định được hai IP có liên quan đến các hoạt động trước đây của nhóm tin tặc APT29 (Midnight Blizzard, NOBELIUM, Cosy Bear), một nhóm tác nhân đe dọa được cho là có liên hệ với Cơ quan Tình báo đối ngoại Nga (SVR).
Nguyễn Hà Phương
09:00 | 01/02/2024
15:00 | 23/04/2024
10:00 | 26/04/2024
13:00 | 23/03/2023
09:00 | 16/01/2023
08:00 | 04/05/2024
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
07:00 | 14/10/2024
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
08:00 | 17/07/2024
Mới đây, một lỗ hổng bảo mật nghiêm trọng trong Exim Mail Server đã được phát hiện có thể cho phép kẻ tấn công gửi các tệp đính kèm độc hại đến hộp thư của người dùng mục tiêu.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
10:00 | 25/10/2024
