Ataques de fuerza bruta dirigidos hacia Cisco, CheckPoint, Fortinet, SonicWally Ubiquiti

Publicado hace 8 meses 23-04-2024

Desde el 18 de marzo de 2024, el equipo de Cisco Talos monitoreo activamente un aumento en ataques de fuerza bruta por todo el mundo, incluidos servicios de red privada virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH (Secure Shell).
Estos ataques se originan en servidores proxy: IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy y Proxy Rack, en nodos de salida del navegador TOR y VPN Gate. La lista de servicios proxy es exhaustiva, ya que se pueden utilizar servicios adicionales.
Esta campaña utiliza combinaciones de nombres de usuarios de organizaciones específicas. Dependiendo la organización, los ataques exitosos pueden provocar accesos no autorizados a la red, bloqueos de cuenta o ataques DDoS (distributed denial-of-service).

Productos afectados

  • Cisco Secure Firewall VPN 
  • Checkpoint VPN 
  • Fortinet VPN 
  • SonicWall VPN 
  • RD Web Services 
  • Miktrotik 
  • Draytek 
  • Ubiquiti

Recomendaciones

  • Cisco Secure Firewall VPN
    • Habilitar registros de login
    • Perfiles VPN de acceso remoto seguros
    • Bloquear intentos de conexión de fuentes maliciosas
      • Implementar ACL a nivel de interfaz
      • Utilice el comando "shun"
      • Configurar Control-Plane ACL
  • Checkpoint VPN
    • Las políticas de seguridad deben definir los tipos de acceso para los dispositivos, el tipo y las políticas de acceso para los usuarios para los dispositivos dentro y fuera de la organización.
    • Las políticas deben cubrir la administración a los servidores de acceso remoto.
    • Asegurar que los servidores de acceso remoto estén protegidos de manera efectiva y configurados para hacer cumplir las políticas de seguridad.
    • Proteger los dispositivos cliente dentro y fuera de la organización contra amenazas comunes y mantenga su seguridad con regularidad.
  • Fortinet VPN
    • Limitar el acceso entrante mediante políticas de entrada local con hosts específicos, direcciones basadas en geografía o horarios.
    • Administrar adecuadamente las políticas y perfiles de firewall solo contra el nivel de acceso requerido para el usuario remoto.
    • Utilizar un certificado SSL que no sea de fábrica para el portal VPN SSL.
    • Utilizar la autenticación multifactor con servidores de autenticación.
    • Deshabilitar la distinción entre mayúsculas y minúsculas para usuarios remotos que utilizan servidores de autenticación y MFA.
El equipo Inteligencia de amenazas del CDC de Alestra válido estas direcciones IP relacionadas con la amenaza y se realizaron los bloqueos correspondientes de manera automática, cabe señalar que estas direcciones se analizaron y se descartaron aquellas que puedan representar un riesgo para la operación de los clientes. 

Indicadores de compromiso
IOC (IP) IOC (IP)  IOC (IP)   IOC (IP)    IOC (IP)     
23[.]155[.]24[.]6 38[.]62[.]201[.]179 38[.]62[.]211[.]50 38[.]62[.]197[.]107 38[.]174[.]45[.]130
192[.]250[.]227[.]18 38[.]62[.]201[.]111 38[.]62[.]211[.]45 38[.]62[.]197[.]106 38[.]174[.]45[.]112
103[.]16[.]198[.]18 38[.]62[.]201[.]101 38[.]62[.]211[.]33 38[.]62[.]197[.]101 38[.]174[.]45[.]111
103[.]28[.]36[.]106 38[.]62[.]200[.]94 38[.]62[.]211[.]246 38[.]62[.]196[.]96 38[.]174[.]45[.]105
95[.]179[.]144[.]16 38[.]62[.]200[.]86 38[.]62[.]211[.]244 38[.]62[.]196[.]9 38[.]174[.]45[.]1
109[.]70[.]148[.]39 38[.]62[.]200[.]84 38[.]62[.]211[.]227 38[.]62[.]196[.]88 38[.]174[.]44[.]99
84[.]16[.]249[.]34 38[.]62[.]200[.]76 38[.]62[.]211[.]216 38[.]62[.]196[.]84 38[.]174[.]44[.]87
190[.]92[.]158[.]4 38[.]62[.]200[.]65 38[.]62[.]211[.]212 38[.]62[.]196[.]82 38[.]174[.]44[.]86
31[.]170[.]162[.]81 38[.]62[.]200[.]60 38[.]62[.]211[.]196 38[.]62[.]196[.]8 38[.]174[.]44[.]8
103[.]6[.]198[.]97 38[.]62[.]200[.]33 38[.]62[.]211[.]187 38[.]62[.]196[.]77 38[.]174[.]44[.]72
109[.]234[.]161[.]104 38[.]62[.]200[.]225 38[.]62[.]211[.]18 38[.]62[.]196[.]73 38[.]174[.]44[.]69
216[.]246[.]46[.]178 38[.]62[.]200[.]210 38[.]62[.]211[.]159 38[.]62[.]196[.]71 38[.]174[.]44[.]66
94[.]136[.]168[.]124 38[.]62[.]200[.]202 38[.]62[.]211[.]127 38[.]62[.]196[.]69 38[.]174[.]44[.]63
50[.]31[.]177[.]66 38[.]62[.]200[.]186 38[.]62[.]211[.]12 38[.]62[.]196[.]67 38[.]174[.]44[.]57
86[.]107[.]43[.]82 38[.]62[.]200[.]170 38[.]62[.]211[.]116 38[.]62[.]196[.]64 38[.]174[.]44[.]32
77[.]95[.]113[.]180 38[.]62[.]200[.]169 38[.]62[.]211[.]10 38[.]62[.]196[.]61 38[.]174[.]44[.]29
95[.]216[.]22[.]35 38[.]62[.]200[.]161 38[.]62[.]210[.]79 38[.]62[.]196[.]40 38[.]174[.]44[.]253
45[.]84[.]120[.]170 38[.]62[.]200[.]160 38[.]62[.]210[.]61 38[.]62[.]196[.]4 38[.]174[.]44[.]248
187[.]45[.]187[.]42 38[.]62[.]200[.]16 38[.]62[.]210[.]6 38[.]62[.]196[.]37 38[.]174[.]44[.]247
179[.]61[.]12[.]110 38[.]62[.]200[.]158 38[.]62[.]210[.]43 38[.]62[.]196[.]36 38[.]174[.]44[.]239
104[.]244[.]73[.]193 38[.]62[.]200[.]140 38[.]62[.]210[.]37 38[.]62[.]196[.]32 38[.]174[.]44[.]236
185[.]220[.]101[.]42 38[.]62[.]200[.]132 38[.]62[.]210[.]35 38[.]62[.]196[.]26 38[.]174[.]44[.]232
185[.]243[.]218[.]110 38[.]62[.]200[.]124 38[.]62[.]210[.]194 38[.]62[.]196[.]254 38[.]174[.]44[.]231
185[.]100[.]87[.]174 38[.]62[.]200[.]121 38[.]62[.]210[.]188 38[.]62[.]196[.]253 38[.]174[.]44[.]222
2[.]58[.]56[.]90 38[.]62[.]200[.]12 38[.]62[.]210[.]187 38[.]62[.]196[.]252 38[.]174[.]44[.]198
77[.]220[.]196[.]253 38[.]62[.]200[.]110 38[.]62[.]210[.]174 38[.]62[.]196[.]251 38[.]174[.]44[.]196
185[.]130[.]44[.]59 38[.]62[.]200[.]109 38[.]62[.]210[.]167 38[.]62[.]196[.]241 38[.]174[.]44[.]195
192[.]42[.]116[.]193 38[.]62[.]200[.]100 38[.]62[.]210[.]151 38[.]62[.]196[.]238 38[.]174[.]44[.]176
103[.]251[.]167[.]20 38[.]62[.]199[.]91 38[.]62[.]210[.]138 38[.]62[.]196[.]235 38[.]174[.]44[.]171
192[.]42[.]116[.]191 38[.]62[.]199[.]7 38[.]62[.]210[.]135 38[.]62[.]196[.]224 38[.]174[.]44[.]169
185[.]220[.]101[.]101 38[.]62[.]199[.]69 38[.]62[.]210[.]121 38[.]62[.]196[.]221 38[.]174[.]44[.]160
185[.]220[.]101[.]16 38[.]62[.]199[.]68 38[.]62[.]210[.]11 38[.]62[.]196[.]220 38[.]174[.]44[.]154
107[.]189[.]7[.]144 38[.]62[.]199[.]66 38[.]62[.]210[.]109 38[.]62[.]196[.]217 38[.]174[.]44[.]150
185[.]220[.]100[.]244 38[.]62[.]199[.]59 38[.]62[.]209[.]99 38[.]62[.]196[.]212 38[.]174[.]44[.]141
185[.]220[.]101[.]171 38[.]62[.]199[.]58 38[.]62[.]209[.]7 38[.]62[.]196[.]21 38[.]174[.]44[.]140
78[.]142[.]18[.]219 38[.]62[.]199[.]50 38[.]62[.]209[.]56 38[.]62[.]196[.]209 38[.]174[.]44[.]138
109[.]70[.]100[.]71 38[.]62[.]199[.]49 38[.]62[.]209[.]49 38[.]62[.]196[.]208 38[.]174[.]44[.]137
185[.]220[.]101[.]50 38[.]62[.]199[.]35 38[.]62[.]209[.]252 38[.]62[.]196[.]201 38[.]174[.]44[.]126
192[.]42[.]116[.]176 38[.]62[.]199[.]222 38[.]62[.]209[.]239 38[.]62[.]196[.]200 38[.]174[.]44[.]123
185[.]56[.]83[.]83 38[.]62[.]199[.]221 38[.]62[.]209[.]230 38[.]62[.]196[.]2 38[.]174[.]44[.]121
94[.]102[.]51[.]15 38[.]62[.]199[.]219 38[.]62[.]209[.]23 38[.]62[.]196[.]196 38[.]174[.]44[.]101
179[.]43[.]159[.]196 38[.]62[.]199[.]199 38[.]62[.]209[.]219 38[.]62[.]196[.]190 38[.]174[.]43[.]90
92[.]205[.]163[.]226 38[.]62[.]199[.]181 38[.]62[.]209[.]216 38[.]62[.]196[.]181 38[.]174[.]43[.]80
192[.]42[.]116[.]216 38[.]62[.]199[.]177 38[.]62[.]209[.]19 38[.]62[.]196[.]180 38[.]174[.]43[.]76
185[.]220[.]101[.]76 38[.]62[.]199[.]164 38[.]62[.]209[.]171 38[.]62[.]196[.]179 38[.]174[.]43[.]73
45[.]138[.]16[.]203 38[.]62[.]199[.]155 38[.]62[.]209[.]165 38[.]62[.]196[.]175 38[.]174[.]43[.]60
185[.]220[.]101[.]44 38[.]62[.]199[.]124 38[.]62[.]209[.]160 38[.]62[.]196[.]171 38[.]174[.]43[.]58
185[.]220[.]101[.]15 38[.]62[.]198[.]93 38[.]62[.]209[.]153 38[.]62[.]196[.]165 38[.]174[.]43[.]56
45[.]139[.]122[.]176 38[.]62[.]198[.]75 38[.]62[.]208[.]72 38[.]62[.]196[.]164 38[.]174[.]43[.]54
192[.]42[.]116[.]212 38[.]62[.]198[.]74 38[.]62[.]208[.]70 38[.]62[.]196[.]162 38[.]174[.]43[.]44
192[.]42[.]116[.]184 38[.]62[.]198[.]65 38[.]62[.]208[.]69 38[.]62[.]196[.]158 38[.]174[.]43[.]42
192[.]42[.]116[.]173 38[.]62[.]198[.]37 38[.]62[.]208[.]59 38[.]62[.]196[.]155 38[.]174[.]43[.]41
185[.]220[.]101[.]169 38[.]62[.]198[.]30 38[.]62[.]208[.]47 38[.]62[.]196[.]151 38[.]174[.]43[.]28

Referencias

  • Talos, C. (2024, 17 abril). Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials. Cisco Talos Blog. https://blog.talosintelligence.com/large-scale-brute-force-activity-targeting-vpns-ssh-services-with-commonly-used-login-credentials/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más