近日，全球範圍內出現了大量針對思科、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 設備的 VPN 和 SSH 服務的大規模憑據暴力破解活動。

暴力攻擊是指使用許多用戶名和密碼嘗試登錄帳戶或設備，直到找到正確的組合。一旦獲得正確的憑據，威脅者就可以利用它們劫持設備或訪問內部網絡。

但據 Cisco Talos 稱，這種新的暴力攻擊活動混合使用了與特定組織相關的有效和通用員工用戶名。

研究人員稱，他們最早于今年3月18日發現了此類攻擊事件，所有攻擊都源于 TOR 出口節點以及其他各種匿名工具和代理服務器，威脅者利用這些工具和代理服務器來躲避攔截。

思科塔洛斯報告警告稱：根據目標環境的不同，此類攻擊可能會導致未經授權的網絡訪問、賬戶鎖定或拒絕服務狀況。與這些攻擊有關的流量隨著時間的推移而增加，並可能繼續上升。

用于實施攻擊的一些服務包括 TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxy、Nexus Proxy 和 Proxy Rack。

思科的研究人員報告稱，以下八項服務是此次活動的主要目標：

思科安全防火牆 VPN

Checkpoint VPN

Fortinet VPN

SonicWall VPN

RD 網絡服務

Miktrotik

Draytek

Ubiquiti

該惡意活動沒有具體針對特定行業或地區，表明其采取的是隨機、機會性攻擊的更廣泛策略。

Talos 團隊在 GitHub 上共享了該活動的完整入侵指標 (IoC) 列表，其中包括攻擊者的 IP 地址（用于列入攔截列表）以及暴力攻擊中使用的用戶名和密碼列表。

今年 3 月下旬，思科警告稱，針對思科安全防火牆設備上配置的遠程訪問 VPN (RAVPN) 服務，出現了一波密碼噴射攻擊。

這種密碼噴射攻擊對薄弱的密碼很有效，很多用戶名使用的都是一小套常用密碼，而不是使用大字典暴力破解。

安全研究員 Aaron Martin 根據觀察到的攻擊模式和目標範圍，將這些攻擊歸因于一個名爲 "Brutus "的惡意軟件僵屍網絡。

思科此前針對該攻擊提出的建議包括：

啓用對遠程 syslog 服務器的日志記錄，以改進事件分析和關聯。

通過將未使用的默認連接配置文件指向 sinkhole AAA 服務器來保護默認遠程訪問 VPN 配置文件，以防止未經授權的訪問。

利用 TCP 回避手動阻止惡意 IP。

配置控制平面 ACL，從啓動 VPN 會話中過濾掉未經授權的公共 IP 地址。

對 RAVPN 使用基于證書的身份驗證，這提供了比傳統憑據更安全的身份驗證方法。

目前尚未核實此次攻擊是否是之前攻擊的延續，思科公司目前也並未對這兩起事件的關聯情況進行回應。

參考來源：

Cisco warns of large-scale brute-force attacks against VPN services

Cisco warns of password-spraying attacks targeting VPN services