目前,一场大规模的暴力破解密码攻击正在进行中,攻击者利用近280万个IP地址,试图破解包括Palo Alto Networks、Ivanti和SonicWall在内的多种网络设备的登录凭证。
什么是暴力破解攻击?
暴力破解攻击是指威胁行为者反复尝试大量使用用户名和密码组合登录账户或设备,直到找到正确的组合。一旦他们获得了正确的凭证,就可以利用这些凭证劫持设备或入侵网络。
根据威胁监控平台The Shadowserver Foundation的报告,自去年以来,这种暴力破解攻击一直在持续,每天有近280万个源IP地址参与其中。其中,大部分IP地址(110万个)来自巴西,其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥,涉及众多国家。
攻击目标与手段
这些攻击主要针对边缘安全设备, 比如防火墙、VPN、网关和其他安全设备,这些设备通常暴露在互联网上,以便于远程访问。而发动攻击的设备大多是MikroTik、华为、思科、Boa和中兴的路由器和物联网设备,这些设备通常被大型恶意软件僵尸网络攻陷。
Shadowserver Foundation在声明中确认,这种活动已经持续了一段时间,近期规模发生了显著扩大。他们还表示,攻击IP地址分布在许多网络和自治系统中,很可能是僵尸网络或与住宅代理网络相关的操作。
住宅代理的滥用
住宅代理是互联网服务提供商(ISP)分配给家庭用户的IP地址,因其能够伪装成普通家庭用户流量,常被用于网络犯罪、数据抓取、绕过地理限制、广告验证、抢购鞋票等非法活动。这些代理通过住宅网络路由流量,使攻击行为更难被检测。
此次被攻击的网关设备可能被用作住宅代理操作中的出口节点,通过企业网络路由恶意流量。由于这些企业网络通常信誉良好,因此攻击行为更隐蔽,更难被发现和阻止。
如何保护边缘设备?
为了保护边缘设备免受暴力破解攻击,建议采取以下措施:更改默认管理员密码为强且独特的密码;启用多因素认证(MFA);仅允许可信IP地址访问;如无必要,禁用Web管理界面。此外,及时更新设备的最新固件和安全补丁,修复漏洞,是防止攻击者入侵的关键。
去年4月,思科曾警告称,全球范围内针对思科、CheckPoint、Fortinet、SonicWall和Ubiquiti设备的大规模暴力破解活动正在展开。同年12月,Citrix也发出警告,称全球范围内的Citrix Netscaler设备正遭受密码喷射攻击。
