Cisco Talos Intelligence Groupは4月16日(米国時間)、「Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials」において、VPN(Virtual Private Network)、Webアプリケーション認証インタフェース、SSH(Secure SHell)などを標的とする世界的なブルートフォース攻撃の増加を検知したとして注意を喚起した。
3月18日よりブルートフォース攻撃が増加
Cisco Talosによると、この攻撃は少なくとも2024年3月18日(米国時間)から積極的に行われており、現在も増加傾向にあるとされる。主な標的は次の製品およびサービスとされる。
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
この攻撃では、一般的なユーザー名と特定の組織の有効なユーザー名を使用することが確認されている。また、特定の地域や業界を標的としたものではなく、世界中の組織を対象に無差別に攻撃が実施されているとみられている。攻撃元のIPアドレスは次に示すVPN(Virtual Private Network)が多いとされるが、今後は他のサービスを悪用する可能性もあると指摘されている。
- Tor (The Onion Router)
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
対策
Cisco Talosはこのような攻撃からシステムを保護するため、パスワードスプレー攻撃に対抗するベストプラクティス「Recommendations Against Password Spray Attacks Impacting Remote Access VPN Services - Cisco」を参考に必要な対策の実施を推奨している。
また、今回の攻撃で使用されたユーザー名とパスワードの一覧を含めたセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/2024/04 at main · Cisco-Talos/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。