Ataque masivo de fuerza bruta atacan a dispositivos VPN

Iniciado por AXCESS, Febrero 08, 2025, 03:03:27 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 08, 2025, 03:03:27 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se está llevando a cabo un ataque de fuerza bruta a gran escala que utiliza casi 2,8 millones de direcciones IP para intentar adivinar las credenciales de una amplia gama de dispositivos de red, incluidos los de Palo Alto Networks, Ivanti y SonicWall.

Un ataque de fuerza bruta es cuando los actores de amenazas intentan iniciar sesión repetidamente en una cuenta o dispositivo utilizando muchos nombres de usuario y contraseñas hasta que se encuentra la combinación correcta. Una vez que tienen acceso a las credenciales correctas, los actores de amenazas pueden usarlas para secuestrar un dispositivo o acceder a una red.

Según la plataforma de monitoreo de amenazas The Shadowserver Foundation, un ataque de fuerza bruta ha estado en curso desde el mes pasado, empleando casi 2,8 millones de direcciones IP de origen diariamente para realizar estos ataques.

La mayoría de estos (1,1 millones) son de Brasil, seguido de Turquía, Rusia, Argentina, Marruecos y México, pero en general hay una gran cantidad de países de origen que participan en la actividad.



Se trata de dispositivos de seguridad de borde, como cortafuegos, VPN, puertas de enlace y otros dispositivos de seguridad, que suelen estar expuestos a Internet para facilitar el acceso remoto.

Los dispositivos que llevan a cabo estos ataques son en su mayoría enrutadores y equipos IoT de MikroTik, Huawei, Cisco, Boa y ZTE, que suelen verse comprometidos por grandes botnets de malware.

En una declaración, la Fundación Shadowserver confirmó que la actividad ha estado en curso durante un tiempo, pero que recientemente aumentó a una escala mucho mayor.

ShadowServer también dijo que las direcciones IP atacantes están distribuidas en muchas redes y sistemas autónomos y es probable que sean una botnet o alguna operación asociada con redes proxy residenciales.

Los proxies residenciales son direcciones IP asignadas a clientes consumidores de proveedores de servicios de Internet (ISP), lo que los hace muy buscados para su uso en delitos cibernéticos, scraping, evasión de restricciones geográficas, verificación de anuncios, scalping, y más.

Estos servidores proxy enrutan el tráfico de Internet a través de redes residenciales, lo que hace que parezca que el usuario es un usuario doméstico normal en lugar de un bot, un recopilador de datos o un pirata informático.

Los dispositivos de puerta de enlace como los que son el objetivo de esta actividad podrían usarse como nodos de salida de proxy en operaciones de proxy residencial, enrutando el tráfico malicioso a través de la red empresarial de una organización.

Estos nodos se consideran de "alta calidad" ya que las organizaciones tienen una buena reputación y los ataques son más difíciles de detectar y detener.

Los pasos para proteger los dispositivos periféricos de los ataques de fuerza bruta incluyen cambiar la contraseña de administrador predeterminada a una fuerte y única, aplicar la autenticación multifactor (MFA), usar una lista de permitidos de IP confiables y deshabilitar las interfaces de administración web si no son necesarias.

En última instancia, aplicar las últimas actualizaciones de firmware y seguridad en esos dispositivos es crucial para eliminar las vulnerabilidades que los actores de amenazas pueden aprovechar para obtener acceso inicial.

El pasado mes de abril, Cisco advirtió sobre una campaña de fuerza bruta de credenciales a gran escala dirigida a dispositivos Cisco, CheckPoint, Fortinet, SonicWall y Ubiquiti en todo el mundo. En diciembre, Citrix también advirtió sobre ataques de rociado de contraseñas dirigidos contra dispositivos Citrix Netscaler en todo el mundo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Febrero 08, 2025, 04:33:36 PM #1
Excelente post, hermano. Muchas gracias por compartir.  8)
Imprimir
Ir Arriba Páginas1
Acciones del Usuario