Empresa tecnológica advierte sobre ataques dirigidos a los servicios VPN
El gigante tecnológico de telecomunicaciones, Cisco, ha compartido recientemente una serie de recomendaciones para que los clientes puedan mitigar los llamados ataques de pulverización de contraseñas, los cuales están dirigidos a servicios VPN de acceso remoto o RAVPN. Dichos servicios están configurados en los dispositivos Cisco Secure Firewall.
La empresa señala también que los ciberataques se han dirigido a otros servicios VPN de acceso remoto y que parecen ser parte de una actividad de reconocimiento. Igualmente, durante un ataque de pulverización de contraseñas, un actor malicioso intenta emplear la misma contraseña con varias cuentas para intentar forzar un inicio de sesión.
Es por esto que la guía de mitigación de Cisco pone en una lista algunos indicadores de compromiso (IoC), para esta tarea y para ayudar a detectar los diversos ataques y bloquearlos. Estas opciones incluyen la imposibilidad de que puedas establecer conexiones VPN con la tecnología Cisco Secure Client (AnyConnect), cuando el llamado Firewall Posture o HotScan se ecuentre habilitado.
Otra de las señales sospechosas radica en la cantidad inusual de solicitudes de autenticación que se encuentran en los registros del sistema. Además, las recomendaciones de la compañía Cisco para que puedas defenderte de estos ataques, incluyen:
Debes habilitar el inicio de sesión en un servidor sylog remoto para mejorar el análisis y la posterior correlación de incidentes maliciosos.
La protección de los perfiles VPN de acceso remoto es importante, apuntando a los perfiles de conexión predeterminados que no utiliza un servidor AAA, con el fin de evitar accesos no autorizados.
Aprovechar la herramienta TCP Shun para bloquear direcciones IP maliciosas de forma manual.
Implementa la configuración de ACL del plano de control, con el objetivo de filtrar las direcciones IP públicas no autorizadas para que no puedan iniciar sesiones VPN.
Utiliza la autenticación basada en certificados para RAVPN, los cuales proporcionan métodos de autenticación más seguros que las credenciales comunes y corrientes.
La ciberseguridad es un elemento crítico que todas las empresas deberían tomar en cuenta, ya que su existencia misma dependen de evitar y dar respuesta rápida a eventos maliciosos. Por ello, TIC Defense te ofrece una amplia gama de herramientas, soluciones y productos que se ajustan a las necesidades de defensa de tu organización.
Investigadores de ciberseguridad han manifestado en distintos medios especializados que las actividades observadas por la empresa Cisco, probablemente tengan su origen en un botnet de malware indocumentado, al que han llamado “Brutus”. La conexión se basa en el alcance particular del objetivo y de los patrones de ataque.
Los especialistas han publicado un informe sobre la botnet Brutus, describiendo los métodos de ataque inusuales que han observado desde el pasado mes de marzo. Dicho informe señala también que la botnet depende, actualmente, de 20 mil direcciones IP en todo el planeta. Las cuales abarcan múltiples infraestructuras, desde servicios en la nube hasta direcciones IP residenciales.
Inicialmente, los ciberataques estaban dirigidos hacia los dispositivos SSLVPN de Fortinet y Cisco, entre otros. Sin embargo, en estos momentos se han ampliado para incluir aplicaciones web que usan Active Directory para la autenticación.
La botnet rota sus IP maliciosas cada 6 meses, aproximadamente, para evadir la detección y el bloqueo. Mientras emplea nombres de usuario no divulgados y muy específicos que no se encuentran disponibles en los volcados de datos públicos.
Esto ha generado preocupación, acerca de cómo obtuvieron estos nombres de usuario. Lo que podría indicar una infracción o violación de datos no revelada o la explotación de una vulnerabilidad de día cero.
