Hackerlar, güvenlik açıklarından faydalanarak Cisco Adaptive Security Appliance (ASA) SSL VPN’leri hedef alarak kimlik bilgisi doldurma ve kaba kuvvet saldırıları gerçekleştiriyor.
Çoğunlukla çok faktörlü kimlik doğrulamasının (MFA) uygulanmaması gibi güvenlik önlemlerinin eksikliğini kullanıyorlar.
Salı günü yayımlanan bir raporda bu olaylarla ilgili ek görüşler sundu. Saldırganların bu cihazlara Mart ayından bu yana hedeflediklerini, hedeflerin giriş kimlik bilgilerini tahmin etmek için tasarlanmış kaba kuvvet saldırılarına yönlendiklerini ortaya koydular.
Ayrıca, saldırıların arkasındaki tehdit aktörlerinin yapılandırılmış MFA’yı atlayarak Cisco VPN’lerini ihlal ettiği herhangi bir duruma henüz rastlamadıklarını belirttiler.
Bu, Cisco’nun Ürün Güvenliği Olay Yanıt Ekibi (PSIRT) tarafından yapılan bir öneriyi doğruluyor.
Cisco PSIRT Baş Mühendisi Omar Santos, “Cisco’nun etkilenen ASA’larında günlükleme yapılandırılmamıştı. Bu, Akira fidye yazılımı saldırganlarının VPN’lere nasıl erişebildiğini kesin olarak belirlemeyi zorlaştırdı,” dedi .
“Bir tehdit aktörünün bir kullanıcının VPN kimlik bilgilerine başarılı bir şekilde yetkisiz erişim sağlaması durumunda, kaba kuvvet saldırıları gibi MFA, tehdit aktörlerinin VPN’e erişimini engellemek için ek bir koruma katmanı sağlar.”
Rapid7, en az 11 müşterinin Mart ayı ile 24 Ağustos tarihleri arasında Cisco ASA ile ilgili saldırılarda ihlal edildiğini ve ihlallerin kompromize edilmiş SSL VPN’lerle bağlantılı olduğunu açıkladı.Rapid7 tarafından araştırılan çoğu olayda, kötü niyetli aktörler admin, guest, kali ve cisco’dan test, printer, security ve inspector gibi yaygın kullanıcı adları kullanarak ASA cihazlarına girmeye çalıştılar.
Rapid7 ayrıca, saldırıların çoğunun benzer altyapıyı kullandığını ve tehdit aktörlerinin ‘WIN-R84DEUE96RB’ adlı bir Windows cihazından bağlandığını ve 176.124.201.200 ve 162.35.92.242 IP adreslerini kullandığını belirtti.
VPN cihazlarını ihlal ettikten sonra, saldırganlar kurbanların ağlarına AnyDesk uzak masaüstü yazılımını kullanarak uzaktan eriştiler ve NTDS.DIT Active Directory veritabanını döktükten sonra çalınan etki alanı kimlik bilgilerini kullanarak diğer sistemlere sızdılar.
Bazı ihlaller LockBit ve Akira fidye saldırılarına yol açtı.
“Yönetilen hizmetler ekibimizin yanıtladığı birkaç olay, Akira ve LockBit gruplarının fidye yazılımı dağıtımıyla sonuçlandı,” dedi Rapid7.
“Bu olaylar, zayıf veya varsayılan kimlik bilgilerinin hala yaygın bir şekilde kullanıldığını ve genel olarak kimlik bilgilerinin sıkça korunmadığını, bunun sonucunda kurumsal ağlarda MFA’nın gevşek bir şekilde uygulanmasından kaynaklandığını gösteriyor.”
Yöneticilere ve güvenlik ekiplerine, VPN sistemlerine yönelik kaba kuvvet saldırılarını engellemek için varsayılan hesapları ve parolaları devre dışı bırakmaları öneriliyor.
Ayrıca, tüm VPN kullanıcıları için MFA’nın zorunlu hale getirilmesi ve saldırı analizi için gerektiğinde tüm VPN’lerde günlükleme etkinleştirilmesi gerektiği belirtiliyor.
Kaynak: BleepingComputer