Waarschuwing over wereldwijde toename in brute-force aanvallen op o.a. VPN diensten
Tech journalist Cisco Talos waarschuwt dat sinds zeker 18 maart van dit jaar een grote, wereldwijde toename is te zien in digitale brute-force aanvallen. Die aanvallen zijn gericht op o.a. Virtual Private Network (VPN) services, webapplicatie-authenticatie-interfaces en SSH-services.
Wat is er aan de hand?
Hackers blijven hun aanvallen op netwerkbeveiligingsapparaten en externe toegangsservices escaleren als middel om klantomgevingen binnen te dringen. Ze zijn daarin in een soort wapenwedloop verwikkeld met de aanbieders van ’s wereld beste VPN diensten. De aanbieders proberen het internet veilig te houden door hun diensten steeds beter te beveiligen. Hackers proberen door die beveiliging heen te breken.
In een blogpost meldde het Talos-onderzoeksteam van Cisco dat het een “wereldwijde toename van brute-force aanvallen” op VPN-services monitort. Ondertussen heeft een offensief beveiligingsbedrijf een exploit vrijgegeven voor de recentelijk bekendgemaakte, kritieke kwetsbaarheid die verschillende versies van Palo Alto Networks’ PAN-OS-firewallsoftware treft.
Gegeven de prominente positie van netwerkbeveiligingsproducten, staat het buiten kijf dat “ze grote doelwitten zijn voor aanvallers van allerlei aard”, zei Caitlin Condon, directeur van kwetsbaarheidsonderzoek en intelligentie bij Rapid7, in een interview.
Hier zijn vijf belangrijke dingen om te weten over de laatste grote aanvallen op firewall- en VPN-services:
Exploit voor PAN-OS vrijgegeven
Vrijdag meldde Palo Alto Networks een kritieke kwetsbaarheid die van invloed is op de PAN-OS 10.2, PAN-OS 11.0 en PAN-OS 11.1 versies van de firewall-software.
Opmerkelijk genoeg werd de zero-day-kwetsbaarheid al geëxploiteerd op het moment van de bekendmaking, aldus het bedrijf. De leverancier verklaarde dat tot dinsdagmiddag slechts een “beperkt aantal aanvallen” die gebruik maken van de kwetsbaarheid, zijn waargenomen.
Op dinsdag heeft offensief beveiligingsbedrijf watchTowr Labs proof-of-concept-exploitcode vrijgegeven, die “uiteindelijk wordt uitgevoerd als een shell-opdracht” op kwetsbare Palo Alto Networks-firewalls, aldus een blogpost.
Kritieke kwetsbaarheid
Palo Alto Networks heeft snel gereageerd na de ontdekking van de kritieke kwetsbaarheid en heeft informatie openlijk gedeeld, vertelde Rapid7’s Condon aan CRN.
Het probleem werd ontdekt door onderzoekers van cybersecurity-bedrijf Volexity, dat ook bewijs vond van exploitatie van de kwetsbaarheid in het wild.
Als reactie daarop waren de adviezen van Palo Alto Networks “transparant met die informatie, zelfs voordat patches volledig beschikbaar waren”, zei Condon.
Het bedrijf gaf mitigaties in verband met de kwetsbaarheidsbekendmaking, merkte ze op – en de boodschap was in feite: “Mitigeer nu, en we zullen u zo snel mogelijk van patches voorzien.”
VPN-aanvalscampagne
In een aparte bekendmaking waarschuwden onderzoekers van Cisco Talos dinsdag voor een golf van aanvallen die de afgelopen maand zijn waargenomen, inclusief tegen veelgebruikte VPN-services.
De aanvallen hebben zich gericht op “brute-force” wachtwoordraden en hebben ook SSH-services en authenticatie-interfaces voor webapplicaties aangevallen, volgens het Talos-onderzoeksteam.
De cyberaanvalcampagne is gaande sinds “minstens” 18 maart. “Afhankelijk van de doelomgeving kunnen succesvolle aanvallen van dit type leiden tot ongeautoriseerde netwerktoegang, accountblokkades of denial-of-service-omstandigheden”, schreven de onderzoekers in een post.
Getroffen diensten
De Talos-onderzoekers vermeldden een aantal “bekende getroffen services” in de aanvalscampagne. Die services omvatten Cisco’s Secure Firewall VPN-aanbod, evenals VPN-services van Check Point, Fortinet, SonicWall en Ubiquiti, volgens Talos.
“Echter, aanvullende services kunnen worden getroffen door deze aanvallen”, schreven de onderzoekers.
Het grotere context voor de aanvallen gericht op firewall-apparaten en VPN-services is dat “dit apparaten zijn die tientallen jaren geleden zijn gemaakt”, zei Deepen Desai, Chief Security Officer en Senior Vice President of Security Engineering and Research bij Zscaler.
“Het heeft zeker zijn doel gediend, of het nu gaat om een VPN of een firewall”, zei Desai tegen CRN. Echter, “het dreigingslandschap was destijds compleet anders,” zei hij.
Vooral als het gaat om zero-day exploits in firewalls, kan de impact vandaag de dag “enorm” zijn, zei Desai. “De bedreigingsactor kan binnenkomen zonder een sleutel tot uw huis te hebben en alles binnen het huis bereiken. Alles is bereikbaar.”
