Über deutsche IP-Adressen:
Hacker attackieren massenhaft VPN-Zugänge
VPN-Zugänge von Cisco und Palo Alto Networks werden anSicherheitsforscher von Greynoise warnen vor einer neuen Angriffswelle auf VPN-Appliances von Cisco und Palo Alto Networks (PAN). Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) mitteilten, attackieren die Angreifer vorwiegend über IP-Adressen des deutschen Hostinganbieters 3xK und testen verschiedene Nutzername-Passwort-Kombinationen durch, um VPN-Konten zu kapern und in Firmennetzwerke einzudringen.gegriffen. Die Attacken scheinen primär über einen deutschen Hoster zu laufen.
Ziel der Attacken sind laut Greynoise Cisco-SSL-VPN- und PAN-Globalprotect-Instanzen. Allein am 11. Dezember beobachteten die Forscher nach eigenen Angaben Zugriffsversuche auf PAN-Geräte von mehr als 11.000 verschiedenen IP-Adressen. Die meisten anvisierten Zielsysteme befanden sich dabei in den USA, Pakistan und Mexiko.
„Der Datenverkehr stammte fast ausschließlich aus dem IP-Bereich des Hosting-Anbieters 3xK GmbH (Deutschland), was auf eine zentralisierte, cloudbasierte Infrastruktur und nicht auf verteiltes Endbenutzerverhalten hindeutet“, erklärten die Forscher. Zudem sei in den meisten Fällen der gleiche Firefox-User-Agent verwendet worden.
Auch Cisco-Zugänge im Visier
Die selben Angreifer scheinen es ebenso auf die Cisco-VPN-Dienste abgesehen zu haben. Auch in diesem Fall erfolgten die meisten von Greynoise beobachteten Zugriffsversuche über IP-Adressen von 3xK. Und auch bei dem genutzten User-Agent sowie den TCP-Fingerprints gab es Übereinstimmungen. Regulär erfasst Greynoise täglich Anmeldeversuche an Cisco-VPNs von weniger als 200 IP-Adressen, am 12. Dezember wurde aber ein sprunghafter Anstieg auf 1.273 Adressen registriert.
Obwohl Cisco erst kürzlich eine Warnung vor einer aktiv ausgenutzten Zero-Day-Lücke herausgegeben hatte, betonen die Greynoise-Forscher, dass es sich bei den von ihnen beobachteten Attacken lediglich um Password-Spraying oder Credential-Stuffing handelt. „Die beobachteten Request-Bodies deuten eher auf automatisierte Authentifizierungsversuche auf Basis von Anmeldedaten als auf die Ausnutzung von Schwachstellen hin“, so die Forscher.
Administratoren wird empfohlen, auf die Durchsetzung sicherer Passwortrichtlinien und aktivierte Mehr-Faktor-Authentifizierungen (MFA) zu achten und ihre VPN-Appliances regelmäßig auf verdächtige Anmeldeaktivitäten zu untersuchen. Mit verdächtigem Verhalten in Verbindung gebrachte IP-Adressen sollten zudem blockiert werden.